Fuite Ficoba à Bercy : 1,2 million de comptes bancaires exposés, risques pour votre IBAN, phishing sur-mesure et usurpation d’identité en France

1,2 million de comptes bancaires liés à des Français, et leurs infos qui partent en balade après une intrusion à Bercy. On parle du fichier Ficoba, la base qui recense les comptes ouverts en France. Dedans, des identités, des adresses, des RIB/IBAN, et même des identifiants fiscaux qui auraient été consultés. Pas les soldes des comptes, ni l’historique des opérations – ça limite la casse immédiate, mais ça ne te protège pas des escrocs.

Fuite DGFiP sur Ficoba: 1,2 million d’IBAN exposés, les arnaques qui te guettent vraiment

Le vrai danger, c’est ce que des gens motivés peuvent faire avec un nom, une adresse, une banque, et un IBAN. Du phishing sur-mesure, du SMS qui tombe au bon moment, un faux conseiller au téléphone, voire des tentatives de prélèvements SEPA. Et comme l’administration a été plutôt discrète au départ, tu vas devoir faire un truc simple mais pénible: rester sur tes gardes pendant des semaines.

 🧠 En résumé

Ficoba, c’est quoi et pourquoi tout le monde panique

Ficoba, c’est le registre central des comptes bancaires: il dit “qui a quel compte, dans quelle banque”. Pas un coffre-fort avec ton argent, plutôt un annuaire ultra sensible. Quand un pirate met la main sur des IBAN et des identités, il récupère une base parfaite pour te viser toi, pas “un client au hasard”. Et ça change tout dans la crédibilité d’une arnaque.

Dans cette affaire, la DGFiP a confirmé une intrusion et parle d’environ 1,2 million de comptes potentiellement exposés. Les données évoquées: RIB/IBAN, identité, adresse, et des éléments fiscaux. Ce qui a été martelé aussi: pas d’accès aux montants des comptes. C’est important, parce que ça évite le scénario “ils voient que tu as 12 000 et ils attaquent”.

Le point qui fait grincer des dents, c’est la porte d’entrée: des identifiants d’un agent auraient été récupérés frauduleusement, avec un accès large. En clair, pas besoin de forcer une porte blindée si tu voles le badge. Et quand un système concentre autant de données, il attire les attaques comme un lampadaire attire les moustiques un soir d’été.

Il faut aussi remettre ça dans un contexte plus large: les fuites dans les administrations se multiplient, et la DGFiP n’est pas un îlot isolé. Le problème n’est pas juste technique, il est aussi organisationnel: qui a accès à quoi, comment on protège ces accès, comment on détecte vite. Résultat: la confiance prend un coup, et c’est toi qui gères l’angoisse au quotidien.

Phishing sur-mesure: le mail qui connaît ton nom et ta banque

Le phishing “classique”, tu le repères parfois: fautes grossières, adresse bidon, ton “cher client” sans prénom. Là, on passe un cran au-dessus. Avec ton nom, ton adresse, et potentiellement le nom de ta banque, l’escroc peut écrire un message qui colle à ta réalité. Le genre de mail qui commence par “Bonjour Mme X, suite à un incident sur votre prélèvement d’impôts…”. Et tu te tends.

Ce que des experts rappellent depuis des années, c’est que la personnalisation fait chuter la méfiance. Un SMS qui te dit “DGFiP: mise à jour nécessaire, cliquez ici”, suivi d’un appel d’un “conseiller” qui connaît ton adresse, ça peut piéger des gens très carrés. Et le truc vicieux, c’est l’urgence: “dernier rappel”, “compte suspendu”, “action sous 2 heures”.

Concrètement, le scénario le plus fréquent, c’est le faux site: tu cliques, tu arrives sur une page qui imite ta banque ou un service public, et on te demande tes identifiants, ton code, ou une validation via ton appli. Là, ce n’est plus juste “des données qui circulent”, c’est une prise de contrôle. Et derrière, ça peut finir en virement, en ajout de bénéficiaire, ou en paiement validé sous pression.

La règle de survie ne change pas, mais elle devient non négociable: tu ne cliques pas sur un lien reçu par mail ou SMS pour “sécuriser” quoi que ce soit. Tu passes par ton appli, ton espace officiel, ou tu rappelles ton conseiller via le numéro que tu as déjà, pas celui qu’on te donne. Oui, c’est lourd. Mais c’est exactement ce que cherchent les escrocs: te faire agir trop vite.

Prélèvements SEPA: possible en théorie, pénible en pratique

Avec un IBAN, certains fantasment le grand siphonnage automatique. La réalité est plus nuancée. Oui, on peut tenter de mettre en place un prélèvement SEPA sans que tu aies “signé” devant toi, surtout si un fraudeur se fait passer pour un créancier. Mais dans la vraie vie, beaucoup de tentatives finissent repérées: notification bancaire, libellé suspect, montant qui sort de nulle part. Sauf que, entre-temps, tu peux te retrouver dans la galère.

Le risque concret, c’est le prélèvement “test”: 9,99, 14,90, un abonnement streaming, une pseudo-assurance, un service télécom. Pas assez gros pour déclencher une panique immédiate, mais assez pour passer sous le radar si tu ne regardes pas. Et si tu laisses traîner, ça s’empile. Un ancien du monde bancaire le disait récemment: c’est faisable, mais ça ressemble plus à une arnaque opportuniste qu’à une razzia propre.

Il y a quand même un filet de sécurité: le droit européen protège le payeur, et les opérations non autorisées peuvent être remboursées. Sauf que “remboursé” ne veut pas dire “sans dégâts”. Si tu as un loyer, une mensualité, un découvert qui se déclenche à cause d’un prélèvement frauduleux, tu peux te retrouver avec des frais, du stress, et des heures perdues au téléphone. Le remboursement arrive après, pas avant.

Le bon réflexe, c’est d’activer les notifications en temps réel de ta banque si tu les as. Chaque prélèvement, chaque paiement, tu le vois passer. Et si tu repères un truc chelou, tu contestes vite. Sur ce point, les autorités martèlent une chose simple: l’administration fiscale ne te demandera jamais tes identifiants ou tes coordonnées bancaires par mail ou SMS. Si quelqu’un insiste, c’est qu’il veut ton argent, pas t’aider.

Usurpation d’identité: quand l’IBAN sert de pièce du puzzle

L’usurpation d’identité, ce n’est pas forcément “on vide ton compte demain matin”. C’est parfois plus sournois: ouvrir une ligne téléphonique, souscrire un service, tenter un crédit conso, ou monter un dossier avec des infos recoupées. Un nom et un IBAN ne suffisent pas toujours, mais ça “enrichit le dossier” – et c’est exactement ce qui inquiète les spécialistes interrogés ces derniers jours.

Le problème, c’est l’effet cumul. Les noms, prénoms, adresses: il y a eu énormément de fuites récentes un peu partout. Donc quand une nouvelle base tombe, ce n’est pas une fuite isolée, c’est une brique de plus. Tu ajoutes une banque, un identifiant fiscal potentiellement consulté, et tu obtiens un profil plus crédible. De quoi passer des contrôles basiques, ou au moins convaincre un service client pressé.

Sur le terrain, les escrocs adorent le téléphone: le “vishing”, l’arnaque à la voix. Tu reçois un appel d’un faux conseiller qui te tutoie, te rassure, te menace un peu, et te guide pour “annuler une opération”. Il te fait installer une appli, valider une action, ou donner un code. Et comme il connaît ton adresse et ta banque, tu te dis que c’est sérieux. C’est ça, le danger: la mise en scène.

Le revers de la médaille, c’est qu’on te répète “pas grand-chose à faire” côté victime, et c’est vrai sur le plan technique: tu ne peux pas “rappeler” ton IBAN de la circulation. Mais tu peux réduire les dégâts: ne jamais communiquer de codes, rappeler toi-même, et garder un il sur les courriers et mails qui parlent de “mise à jour” ou de “régularisation”. L’arnaque marche souvent parce que tu es fatigué et que tu veux que ça s’arrête.

Ce que la DGFiP et ta banque vont te dire, et ce que tu dois faire

Dans les prochains jours, les clients concernés doivent être prévenus individuellement, avec un dispositif qui passe par la DGFiP et les banques. Attends-toi à recevoir des messages – et c’est là que ça devient tordu: les escrocs savent que tu vas t’attendre à une alerte. Du coup, ils peuvent surfer sur la vague avec de faux mails “d’information”. Le timing, c’est leur meilleur allié.

Quand tu reçois une alerte, tu vérifies d’abord le canal. Un mail qui te demande de “confirmer tes coordonnées” ou de “cliquer pour sécuriser”, tu le traites comme suspect. Une banque sérieuse ne te demande pas tes codes par message, point. Si tu as un doute, tu passes par ton appli officielle, ou tu appelles via le numéro au dos de ta carte. Et si on te met la pression, tu raccroches. Un vrai conseiller survivra à ça.

Ensuite, tu te mets en mode routine: consulter tes opérations, repérer les prélèvements inconnus, surveiller les petits montants. Les notifications temps réel, c’est un bon filet. Et si tu vois un prélèvement suspect, tu contestes rapidement auprès de ta banque. Oui, ça fait du paperasse. Mais plus tu attends, plus tu donnes de l’air à l’escroc pour recommencer ou changer de méthode.

Dernier point, plus politique: cette histoire rappelle que la concentration de données sensibles attire les attaques, et que la sécurité “n’est pas une option”. C’est facile à dire après coup, beaucoup moins à financer et à faire appliquer au quotidien. Toi, tu n’as pas la main sur les systèmes de l’État. Tu as la main sur un truc: refuser le réflexe de l’urgence, et garder ton calme quand un message te promet une catastrophe si tu ne cliques pas dans la minute.