1,2 million d’IBAN français exposés : piratage historique en France

La Direction Générale des Finances publiques (DGFiP) a annoncé le 18 février 2026 avoir identifié « des accès illégitimes au fichier national des comptes bancaires (FICOBA) », affectant environ 1,2 million de comptes. Le fichier FICOBA contient des données sensibles, notamment l’identité du titulaire du compte, l’adresse postale et les coordonnées bancaires complètes (RIB / IBAN).

C’est une situation sans précédent. La Direction Générale des Finances publiques (DGFiP) a signalé qu’une faille a permis une intrusion sur sa base de données, touchant 1,2 million de comptes avec des informations sensibles, en particulier l’IBAN.

Les 100 000 IBAN affectés par la vulnérabilité de Free semblent maintenant être un souvenir lointain. L’annonce alarmante faite par la DGFiP le mercredi 18 février 2026 est d’une tout autre ampleur.

La DGFiP a précisé avoir détecté « des accès illégitimes au fichier national des comptes bancaires (FICOBA) », ce fichier contenait les données bancaires des Français.

### Qui est concerné ?

Tous les détenteurs de comptes bancaires en France figurent dans le FICOBA (Fichier national des comptes bancaires et assimilés). Heureusement, la faille semble avoir été réparée par la DGFiP, mais elle a indiqué que près de 1,2 million de comptes sont touchés.

### Quelles sont les données volées ?

Les utilisateurs doivent faire preuve de vigilance. Bien que les fonds sur les comptes ne soient pas directement en danger (le pirate ne peut pas effectuer de virements via cette interface), les informations dérobées sont extrêmement précieuses pour les escrocs.

Le fichier FICOBA comprend :

– **L’identité du titulaire** du compte ;
– L’adresse postale ;
– **Les coordonnées bancaires complètes (RIB / IBAN)** ;
– Dans certains cas, l’identifiant fiscal.

### Niveau d’alerte maximale : que faire ?

Pour ce type de données, le risque principal n’est pas le piratage direct du compte, mais le **phishing ciblé (ou hameçonnage)**. Un escroc peut utiliser vos informations personnelles comme vos coordonnées bancaires ou votre adresse pour rendre ses messages plus crédibles.

Voici des conseils fournis par la DGFiP :

– **Méfiance absolue :** la DGFiP et les banques ne demanderont **jamais** vos identifiants de connexion, mots de passe ou numéros de carte bancaire par SMS ou email.
– **Surveillez vos comptes :** vérifiez régulièrement vos relevés pour repérer tout prélèvement suspect (via l’IBAN volé).
– **Ne répondez pas :** en cas de doute sur un message, ne cliquez pas sur les liens. Visitez directement le site impots.gouv.fr ou utilisez votre application bancaire via vos favoris habituels.

### Nos astuces

Si vous êtes victime d’un piratage ou d’une fuite de données, voici quelques bonnes pratiques recommandées par *Frandroid* :

– Changez immédiatement les mots de passe des comptes affectés ;
– Changez également les mots de passe similaires sur d’autres services ;
– Utilisez des mots de passe uniques et solides (envisagez d’utiliser un gestionnaire de mots de passe) ;
– Activez la double authentification (2FA) partout où c’est possible ;
– Activez les Passkeys lorsque c’est possible ;
– Dans les semaines à venir, restez sur vos gardes face à des emails, SMS ou appels suspects, même s’ils semblent crédibles ;
– Ne cliquez jamais sur un lien ou ne téléchargez jamais une pièce jointe en cas de doute ;
– Prévenez vos contacts si le piratage pourrait les concerner ;
– Mettez à jour vos appareils et logiciels pour corriger d’éventuelles failles de sécurité ;
– En cas de virements frauduleux, signalez-le sur la plateforme Perceval.