La Direction générale des Finances publiques a levé le voile sur les coulisses du piratage de FICOBA, le fichier ultra‑sensible qui recense l’ensemble des comptes bancaires en France.
La Direction générale des Finances publiques (DGFiP) est longuement revenue sur le piratage du fichier national des comptes bancaires (FICOBA), survenu le mois dernier. Pour rappel, l’attaque s’est soldée par la compromission des données d’1,2 million de comptes bancaires.
Quelques semaines après les faits, l’administration fiscale révèle que l’intrusion s’est étendue sur un total de 16 jours, du 28 janvier au 13 février 2026. Durant ce laps de temps, l’attaquant a été en mesure de « consulter une partie de ce fichier ». Selon les investigations menées par Bercy, il a consulté les coordonnées bancaires (RIB / IBAN), l’identité du titulaire, et l’adresse. Moins de 1 % des coordonnées du fichier FICOBA ont été compromises.
À lire aussi : Les données et les photos d’1,5 million d’ados français ont été partagées sur le dark web
À l’origine du hack, le piratage du compte d’un fonctionnaire
L’enquête menée par l’administration confirme aussi que le piratage découle du hack du compte d’un fonctionnaire, qui disposait d’un « accès dans le cadre de l’échange d’information entre ministères ». Comme on le redoutait, les pirates ont profité de l’absence d’authentification à deux facteurs, une négligence répandue dans de nombreux ministères. L’année dernière, c’est d’ailleurs ce qui a permis de pirater le ministère de l’Intérieur. En d’autres termes, il a suffi de voler les identifiants et les mots de passe pour obtenir un accès au compte. Pour arriver à leurs fins, les cybercriminels ont vraisemblablement déployé une attaque de phishing ou utilisé les données collectées par un malware, comme un infostealer.
La Direction générale des Finances publiques souligne qu’il a été possible de « mettre fin à l’intrusion et limiter l’ampleur des données consultées et extraites de la base », en « prenant immédiatement des mesures de restriction dès la détection de l’incident ».
L’administration ajoute que « les équipes informatiques de la DGFiP, en lien avec d’autres services publics, sont pleinement mobilisées pour traiter cet incident et renforcer la sécurité du système d’information et rétablir le service dans les meilleures conditions de protection ». Gageons que l’administration se concentre surtout sur la généralisation de l’authentification multifactorielle, une mesure susceptible de bloquer la plupart des cyberattaques.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.