Mise à jour du 19 février 2026, 12h00
L’affaire prend de l’ampleur ce matin avec les premières réactions médiatiques et associatives, et de nouvelles questions sur la posture de sécurité de l’administration fiscale.
L’association France Conso Banque qualifie le piratage d’« extrêmement inquiétant »
Michel Guillaud, président de France Conso Banque, première association française de défense des usagers des banques, est intervenu ce matin sur franceinfo. Son constat est sans ambiguïté : c’est la première fois en France qu’une attaque cible directement des fichiers fiscaux de cette envergure. Même si les fuites massives de données ne sont pas nouvelles dans l’Hexagone, la nature souveraine du fichier visé place cet incident dans une catégorie à part.
Le bilan pourrait s’alourdir
Les 1,2 million de comptes annoncés par Bercy constituent un premier décompte. Les investigations sont toujours en cours pour déterminer si l’étendue réelle de la compromission dépasse ce chiffre initial. Le ministère n’a pas encore communiqué de bilan définitif.
La question centrale : y avait-il une authentification forte ?
C’est la question que tout DPO devrait se poser en lisant ce dossier. Plusieurs médias spécialisés soulèvent ce matin un point crucial : l’accès au Ficoba par ce fonctionnaire (dont les identifiants ont été usurpés) était-il protégé par une authentification multifacteur ? Des mécanismes de détection de connexions atypiques étaient-ils en place ? La réponse à ces questions sera déterminante pour la suite, car c’est précisément ce type de manquement qui a conduit la CNIL à sanctionner France Travail de 5 millions d’euros pour une faille de nature identique.
Si l’accès reposait sur un simple couple identifiant/mot de passe sans second facteur, la DGFiP pourrait difficilement démontrer qu’elle a respecté l’obligation de sécurité imposée par l’article 32 du RGPD.
Un précédent oublié : 2 000 comptes fiscaux piratés en 2019
L’Usine Digitale rappelle que la DGFiP avait déjà été ciblée en 2019, lorsque près de 2 000 comptes fiscaux avaient été compromis via des réinitialisations frauduleuses de mots de passe. Cet antécédent, rarement mentionné, montre que les systèmes d’information de l’administration fiscale sont une cible récurrente. La répétition des incidents, sans qu’un renforcement suffisant des accès ait empêché celui de janvier 2026, risque de peser lourd dans l’analyse de la CNIL.
La plateforme Choisir le Service Public frappée en parallèle
Autre fait marquant révélé ce matin : la plateforme de recrutement de la fonction publique (Choisir le Service Public) a elle aussi été victime d’une cyberattaque exploitant un compte gestionnaire compromis. Les données de plus de 377 000 candidats seraient en vente. Le vecteur d’attaque est le même que pour Ficoba : un accès légitime détourné. Cette coïncidence renforce le constat d’une vulnérabilité systémique des accès partagés au sein des administrations.
France 2 consacre un reportage au JT
L’affaire a franchi le cap de la presse spécialisée pour atteindre le grand public. France 2 a diffusé ce matin un reportage incluant le témoignage d’une victime d’une précédente fuite de données, exprimant l’angoisse partagée par des millions de Français : que deviennent concrètement les données une fois qu’elles sont entre les mains des pirates ?
Rappel pratique : surveiller aussi les mandats de prélèvement
Au-delà de la surveillance des relevés de compte, un point opérationnel se confirme ce matin dans plusieurs analyses : un IBAN volé peut servir à souscrire de faux abonnements via des mandats de prélèvement frauduleux. Les victimes potentielles doivent vérifier la liste des créanciers autorisés dans leur espace bancaire en ligne et contester immédiatement tout mandat non reconnu.
Mise à jour du 19 février 2026, 00h15
Depuis la publication de notre article, plusieurs éléments nouveaux sont venus compléter le tableau de cette affaire.
La Fédération bancaire française se veut rassurante
La FBF a réagi par communiqué dès le mercredi 18 février en fin de journée. Le message central : les données issues de Ficoba ne suffisent pas, à elles seules, à déclencher un virement ou un paiement par carte. Les personnes touchées seront contactées à la fois par la DGFiP et par leur banque pour être sensibilisées aux risques de tentatives d’escroquerie ciblées.
Ce message d’apaisement ne doit toutefois pas occulter un danger concret que nous n’avions pas encore identifié lors de notre première publication : un IBAN compromis peut être utilisé pour mettre en place un mandat de prélèvement frauduleux au nom de la victime. Il est donc vivement recommandé de vérifier sans attendre la liste des créanciers autorisés dans son espace bancaire en ligne.
Des données encore plus complètes qu’annoncé initialement
Le communiqué de Bercy mentionnait les coordonnées bancaires, l’identité, l’adresse et l’identifiant fiscal. Il s’avère que les données Ficoba comprennent également la date et le lieu de naissance des titulaires. Ce niveau de détail constitue un kit quasi complet pour une usurpation d’identité et rend les tentatives de phishing d’autant plus crédibles.
La DGFiP n’en est pas à son premier incident en 2026
L’information a émergé dans les heures suivant l’annonce : la DGFiP avait déjà subi une cyberattaque en début d’année 2026, perturbant le fonctionnement de plusieurs centaines de postes. Aucun lien formel n’a été établi entre cet incident et l’intrusion dans Ficoba, mais la succession des deux événements interroge sur la posture de sécurité globale de l’administration fiscale.
Le précédent France Travail : 5 millions d’euros d’amende pour le même type de faille
Le parallèle est saisissant. La CNIL vient de sanctionner France Travail d’une amende de 5 millions d’euros après une fuite de données reposant sur un mécanisme identique : la compromission des identifiants d’un prestataire disposant d’un accès légitime. Ce vecteur d’attaque, que l’ANSSI identifie comme l’un des plus actifs dans le secteur public, exploite un angle mort structurel : les accès inter-ministériels et inter-organismes, par nature plus difficiles à surveiller et à sécuriser que les accès internes.
Pour la DGFiP, ce précédent est un signal d’alerte. Si la CNIL applique le même raisonnement, la question des mesures de sécurité encadrant les accès partagés au Ficoba pourrait faire l’objet d’un examen approfondi.
Le service Ficoba partiellement suspendu
Bercy a indiqué que des travaux étaient en cours pour rétablir le service dans les meilleures conditions de protection. Cette formulation laisse entendre que certains accès professionnels au fichier restent restreints le temps que l’infrastructure soit sécurisée, ce qui peut temporairement affecter les procédures administratives qui dépendent de Ficoba (successions, recouvrements, contrôles fiscaux).
Un avertissement publié directement sur impots.gouv.fr
Fait notable : la DGFiP a choisi de publier un message d’alerte directement sur le site impots.gouv.fr, rappelant que l’administration fiscale ne demande jamais d’identifiants, de mots de passe ou de numéro de carte bancaire par message. Une précaution indispensable alors que les tentatives d’hameçonnage exploitant cette fuite pourraient survenir très rapidement.
Nous continuerons à mettre à jour cet article au fil de l’évolution de l’affaire.
Le 18 février 2026, Bercy a officiellement confirmé une fuite de données bancaires d’ampleur inédite : le fichier Ficoba, véritable annuaire centralisé de tous les comptes bancaires ouverts en France, a été infiltré pendant plusieurs semaines par un acteur malveillant.
L’attaque, débutée fin janvier 2026, a permis la consultation de données sensibles associées à environ 1,2 million de comptes. Un incident majeur qui soulève de sérieuses interrogations sur la sécurité des bases de données souveraines.
Ficoba : un registre stratégique au cœur de l’État
Pour comprendre la gravité de l’incident, il faut d’abord mesurer l’importance de la cible. Le Fichier des Comptes Bancaires et Assimilés (Ficoba) existe depuis 1971 et est géré par la Direction générale des finances publiques (DGFiP). Il recense l’intégralité des comptes courants, livrets d’épargne, comptes-titres et coffres-forts loués dans les établissements bancaires français.
Pour chaque compte, Ficoba enregistre l’identité du titulaire, ses coordonnées bancaires (RIB/IBAN), son adresse, et dans certains cas son identifiant fiscal. Le fichier ne contient en revanche ni les soldes ni les opérations effectuées sur les comptes. Cette base est consultée près de 40 millions de fois par an par les agents du fisc, les organismes de sécurité sociale, Tracfin, la Banque de France, les notaires, les officiers de police judiciaire ou encore les commissaires de justice.
Autrement dit, Ficoba constitue l’un des registres financiers les plus sensibles de l’administration française.
Le scénario de l’attaque : une usurpation d’identité numérique classique mais redoutable
Selon le communiqué de Bercy, l’intrusion repose sur un mécanisme tristement classique en cybersécurité : la compromission d’un compte légitime. L’attaquant a usurpé les identifiants d’un fonctionnaire disposant d’un droit d’accès au fichier dans le cadre des échanges d’informations entre ministères. En se faisant passer pour cet agent habilité, il a pu se connecter au système et parcourir une partie de la base de données.
Les équipes de la DGFiP ont détecté un signal anormal et confirmé les accès illégitimes. Des mesures de restriction ont ensuite été déployées pour stopper l’attaque et limiter l’étendue des consultations et extractions. Le bilan provisoire de cette fuite de données bancaires fait état de 1,2 million de comptes concernés.
Le ministère insiste sur la notion de « partie » du fichier, ce qui laisse entendre que l’enquête cherche encore à déterminer précisément quelles données ont été vues, copiées ou potentiellement réexploitées.
Fuite de données bancaires : pourquoi les informations volées valent de l’or pour les fraudeurs
Même si les mots de passe bancaires et les soldes de comptes n’ont pas été compromis, les informations exposées représentent un véritable trésor pour les cybercriminels.
Un attaquant disposant du nom, du prénom, de l’adresse, de l’IBAN et parfois du numéro fiscal d’une personne peut construire des scénarios d’hameçonnage extrêmement crédibles. Imaginez recevoir un courriel ou un SMS mentionnant votre véritable IBAN, votre adresse exacte et votre identité complète : la probabilité de tomber dans le piège explose comparée à une tentative de phishing générique.
Ces éléments combinés peuvent également servir de base à des tentatives d’usurpation d’identité : ouverture frauduleuse de comptes, souscription de prêts à la consommation, détournement de SIM auprès d’opérateurs téléphoniques (technique du « SIM swapping »), ou encore fraudes fiscales.
Comment Bercy et les autorités répondent à cette fuite de données bancaires
Face à la gravité de la situation, la DGFiP a mobilisé ses équipes informatiques en coordination avec le haut fonctionnaire de défense et de sécurité du ministère des Finances et avec l’ANSSI (Agence nationale de la sécurité des systèmes d’information).
Sur le plan réglementaire, l’incident a été notifié à la CNIL, conformément à l’obligation prévue par le RGPD de déclarer toute violation de données dans un délai de 72 heures. Un dépôt de plainte a également été effectué.
Par ailleurs, les établissements bancaires ont été contactés pour renforcer la vigilance vis-à-vis de leurs clients. L’administration a annoncé que les usagers concernés recevraient prochainement une notification individuelle les informant qu’un accès à leurs données a été constaté.
Ce que les personnes concernées doivent faire
Même sans attendre la notification officielle, plusieurs réflexes s’imposent pour toute personne soupçonnant que ses données figurent parmi les 1,2 million de comptes consultés.
Premièrement, vérifier qu’aucun compte n’a été ouvert à votre insu. Depuis janvier 2025, cette démarche est simplifiée : il suffit de se connecter à son espace personnel sur impots.gouv.fr, rubrique « Autres services », et d’accéder directement au fichier Ficoba.
Deuxièmement, redoubler de prudence face aux messages reçus par courriel, SMS ou téléphone. Tout message mentionnant vos coordonnées bancaires, votre identité ou vous demandant une action urgente doit être traité avec la plus grande méfiance. En cas de doute, ne jamais cliquer sur un lien : passez systématiquement par le site officiel de l’organisme prétendument émetteur.
Troisièmement, activer l’authentification à double facteur sur l’ensemble de vos services en ligne, en particulier les services bancaires et fiscaux.
Enfin, surveiller attentivement vos relevés de compte et signaler immédiatement toute opération suspecte à votre banque.
Un incident qui interroge la centralisation des données souveraines
Cet épisode remet en lumière un débat récurrent : la concentration d’informations sensibles dans des fichiers centralisés multiplie les enjeux en cas de compromission. Ficoba, par nature, constitue une cible d’une valeur exceptionnelle puisqu’il agrège les données bancaires de l’ensemble de la population française.
En 2021 déjà, Bercy avait tenté de faire évoluer Ficoba pour y intégrer les soldes de comptes et les opérations bancaires. Ce projet, révélé par le magazine Next, avait été bloqué par la DINUM (Direction interministérielle du numérique), qui jugeait le cadre juridique insuffisant et l’absence de débat parlementaire problématique. Avec le recul, on mesure à quel point cette décision de prudence était justifiée : si les soldes et transactions avaient été ajoutés au fichier, l’intrusion de janvier 2026 aurait eu des conséquences encore plus dévastatrices.
Le RGPD en action : quelles obligations pour l’administration ?
L’affaire Ficoba constitue un cas d’école d’application du RGPD dans le secteur public. En tant que responsable du traitement, la DGFiP est soumise à plusieurs obligations impératives.
L’article 33 du RGPD impose la notification à la CNIL dans les 72 heures suivant la découverte de la violation. Cette démarche a été effectuée.
L’article 34 prévoit l’information individuelle des personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés. L’administration a annoncé que cette notification serait envoyée prochainement.
Plus largement, l’article 32 exige du responsable de traitement qu’il mette en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. La compromission d’un simple jeu d’identifiants ayant suffi à accéder à plus d’un million d’enregistrements, la CNIL pourrait légitimement s’interroger sur la robustesse des mécanismes d’authentification et de contrôle d’accès en place.
En 2024, 62 % des notifications de violation reçues par la CNIL concernaient des piratages informatiques. Cette tendance confirme que la menace cyber reste le premier vecteur de compromission des données personnelles en France.
Un contexte cyber déjà brûlant en ce début 2026
Cette fuite de données bancaires révélée par Bercy rappelle à chaque citoyen. Depuis le début de l’année 2026, la France a connu une série de cyberattaques d’envergure : piratage de Service-Public.fr touchant des millions de comptes, attaque contre l’Office français de l’immigration et de l’intégration (OFII), fuite de données chez un prestataire de Relais Colis, compromission de la Fédération française de golf… Chacun de ces incidents alimente un écosystème de données volées qui, une fois agrégées, permettent aux cybercriminels de mener des opérations toujours plus ciblées et crédibles.
Dans ce contexte, l’affaire Ficoba envoie un signal d’alerte particulièrement fort : si même les bases de données les plus sensibles de l’État peuvent être compromises par le vol d’un simple identifiant, c’est que la bataille pour la sécurité numérique est loin d’être gagnée.
