WebGuard Agency
CONTACT
Thomas Laurent

Thomas Laurent

Analyste Cybersecurite Senior · 1er avril 2026 · 9 min de lecture

Piratage FICOBA : 1,2 million de comptes bancaires francais compromis par usurpation d'identifiants

TL;DR

  • La DGFiP a confirme une intrusion dans le fichier FICOBA, revelee le 18 fevrier 2026. Un attaquant a usurpe les identifiants d'un fonctionnaire pour acceder illegalement a 1,2 million de comptes.
  • Donnees exposees : identites civiles, adresses postales, RIB et IBAN. Aucun solde ni mouvement n'est stocke dans FICOBA. L'attaque remontait a fin janvier 2026.
  • L'incident s'inscrit dans une vague de cyberattaques touchant 90+ millions de comptes en France debut 2026 (Cegedim, Service-public.fr, federations sportives, OFII, Urssaf).

Le 18 fevrier 2026, la Direction generale des finances publiques (DGFiP) a confirme une intrusion informatique dans le fichier national des comptes bancaires (FICOBA). Comme l'a rapporte France Info, un acteur malveillant a usurpe les identifiants d'un fonctionnaire pour acceder illegalement aux donnees de 1,2 million de comptes bancaires. L'attaque, qui remonterait a fin janvier, n'a ete detectee que plusieurs semaines plus tard.

PIRATAGE FICOBA - CHRONOLOGIE ET CHIFFRES 1,2 M Comptes compromis ~3 sem. Non detecte 90 M+ Comptes touches en FR Mode operatoire : usurpation identifiants fonctionnaire DGFiP Fin janvier 2026 → detection 18 fevrier 2026

Mode operatoire : une attaque par usurpation d'identifiants

L'attaquant n'a pas exploite une faille technique zero-day ni une vulnerabilite logicielle. Il a simplement usurpe les identifiants d'acces d'un fonctionnaire habilite a consulter le fichier FICOBA. Ce type d'attaque, base sur le vol ou la compromission de credentials, represente aujourd'hui le vecteur d'intrusion le plus courant dans les systemes gouvernementaux.

Le fichier FICOBA recense l'ensemble des comptes bancaires ouverts en France. Les donnees consultees comprennent les identites civiles des titulaires, leurs adresses postales et leurs coordonnees bancaires (RIB et IBAN). Point important : FICOBA ne contient ni les soldes ni les mouvements financiers des comptes. L'exposition est donc limitee aux donnees d'identification, mais celles-ci sont suffisantes pour orchestrer des campagnes de phishing cible, des tentatives de fraude au president ou des prelevements SEPA frauduleux.

💡 Notre avis d'expert

Arretons de nous voiler la face : un fonctionnaire avec des identifiants compromis qui accede a 1,2 million de comptes sans declencher la moindre alerte pendant trois semaines, c'est un echec systemique. Ou sont les controles d'acces anomaliques ? Ou est la detection comportementale ? Un utilisateur normal consulte peut-etre 50 comptes par jour. Quand le meme identifiant en consulte 50 000, c'est un signal d'alarme qui devrait etre detecte en quelques heures, pas en trois semaines. La DGFiP doit passer a un modele Zero Trust immediat : chaque requete verifiee, chaque acces contextualise, chaque anomalie alertee en temps reel.

FICOBA dans le contexte d'une vague sans precedent

L'intrusion dans FICOBA n'est pas un incident isole. Debut 2026, plus de 90 millions de comptes auraient ete touches en France en quelques semaines. La fuite massive liee au logiciel medical Cegedim a expose les donnees de sante de pres de 15 millions de Francais. Des attaques DDoS ont frappe La Poste. Service-public.fr a subi une fuite de donnees. Des federations sportives, l'OFII et l'Urssaf ont ete piratees.

L'ANSSI a souligne dans son rapport de fevrier 2026 que les outils d'IA generative sont desormais utilises pour automatiser certaines etapes des attaques. Les campagnes de phishing generees par LLM sont plus convaincantes, les scripts d'exploitation plus sophistiques, et la cadence des attaques s'accelere. La France a repondu avec une strategie nationale de cybersecurite 2026-2030 visant a renforcer les competences et proteger les infrastructures critiques.

💡 Notre avis d'expert

90 millions de comptes compromis en quelques semaines. C'est plus que la population active francaise. La multiplication des attaques sur des systemes gouvernementaux (DGFiP, OFII, Urssaf) revele un probleme structurel : les administrations francaises fonctionnent encore avec des systemes d'information concuts dans les annees 2000, avec des couches de securite ajoutees a posteriori. On ne securise pas un chateau de cartes en ajoutant du scotch. Il faut une refonte architecturale complete, avec Zero Trust, micro-segmentation et SIEM/SOAR modernes. Le cout ? Des milliards. Le cout de ne rien faire ? Beaucoup plus.

VAGUE DE CYBERATTAQUES EN FRANCE - DEBUT 2026 Cegedim - 15M donnees sante FICOBA - 1,2M comptes bancaires Service-public.fr - fuite donnees La Poste, OFII, Urssaf, Fed. sportives 90M+ comptes touches en quelques semaines Source : ANSSI, DGFiP, medias - Fevrier-Mars 2026

Ce que ca signifie pour vous

Si vous etes une entreprise francaise, le piratage FICOBA doit declencher une revision immediate de votre posture de securite. Voici les actions prioritaires :

1. Activez les listes blanches SEPA. Apres le piratage FICOBA, le risque de prelevements frauduleux est reel. Contactez votre banque pour mettre en place une liste blanche de prelevements SEPA autorises. Tout prelevement non inscrit sur cette liste sera automatiquement rejete.

2. Renforcez l'authentification. Si vos systemes internes utilisent encore des identifiants simples (login/mot de passe) sans MFA, vous etes exposes au meme type d'attaque que FICOBA. Deployez le MFA sur tous les acces critiques, sans exception.

3. Implementez la detection comportementale. Un SIEM moderne avec des regles UEBA (User and Entity Behavior Analytics) aurait detecte l'anomalie de FICOBA en heures, pas en semaines. Si vous n'avez pas de SIEM, c'est le moment d'en deployer un.

4. Sensibilisez vos equipes. Les donnees FICOBA vont alimenter des campagnes de phishing ultra-ciblees dans les mois a venir. Les attaquants connaissent desormais l'identite, l'adresse et les coordonnees bancaires de 1,2 million de Francais. Formez vos collaborateurs a detecter ces tentatives.

💡 Notre avis d'expert

Le piratage FICOBA est un signal d'alarme pour toutes les entreprises, pas seulement pour l'administration. Si la DGFiP, avec ses moyens et ses obligations reglementaires, ne detecte pas une intrusion pendant trois semaines, imaginez le temps de detection dans une PME sans SOC dedie. Le cout moyen d'une cyberattaque pour une PME francaise depasse 50 000 euros en 2026. Le cout d'un SOC manage ? A partir de 2 000 euros par mois. Le calcul est simple. Ne soyez pas le prochain FICOBA de votre secteur.

Votre entreprise est-elle protegee ?

Nos experts certifies realisent un audit complet de votre securite en 48h.

Recevez votre devis en 24h

Questions frequentes

FICOBA (Fichier national des Comptes Bancaires et Assimiles) est un fichier gere par la DGFiP qui recense l'ensemble des comptes bancaires ouverts en France. Il contient les identites des titulaires, adresses et coordonnees bancaires (RIB/IBAN), mais pas les soldes ni les mouvements.
Environ 1,2 million de comptes bancaires ont ete consultes illegalement. L'attaque a ete detectee en fevrier 2026 mais remontait a fin janvier. Les donnees exposees comprennent identites, adresses et coordonnees bancaires.
Les identites civiles des titulaires, leurs adresses postales et leurs coordonnees bancaires (RIB et IBAN). Aucune information relative aux soldes ou aux mouvements financiers n'est stockee dans FICOBA.
Prevenez votre banque pour une surveillance renforcee. Activez les listes blanches SEPA. Surveillez vos comptes quotidiennement. Changez vos identifiants bancaires en ligne. Signalez toute operation suspecte.

Nos experts certifies (OSCP, CEH, CISSP) accompagnent les entreprises de toutes tailles. WebGuard Agency, filiale de Digital Unicorn, intervient sur l'ensemble du territoire francais.