Grave fuite de données bancaires : 1,2 million de comptes concernés par le piratage du Ficoba, voici les risques immédiats

1,2 million de comptes bancaires consultés “illégitimement” via le Ficoba. Pas ton solde, pas tes virements, mais ton identité, ton adresse, ton IBAN – et parfois ton identifiant fiscal. C’est le genre de combo qui ne vide pas un compte en une nuit, mais qui rend les arnaques beaucoup plus crédibles. Et dans ce game-là, la crédibilité, c’est la moitié du braquage.

Ficoba piraté : 1,2 million de comptes exposés, les arnaques possibles et les réflexes à adopter

Le pire, c’est l’effet domino. Une fuite de ce type ne sert pas qu’à tenter un prélèvement. Elle sert à te faire baisser la garde au téléphone, à te pousser à “confirmer” une info, à te faire cliquer sur un faux lien, à te faire virer toi-même ton argent “pour le mettre en sécurité”. Du coup, la question n’est pas “est-ce que je suis ruiné demain?”, mais “quels scénarios sont plausibles et qu’est-ce que je fais dès maintenant?”.

🧠 En résumé

Ficoba: ce que le pirate peut vraiment voir

Le Ficoba, c’est le fichier national des comptes bancaires et assimilés. Il recense tous les comptes ouverts en France, côté particuliers comme côté entreprises. Comptes courants, épargne, comptes-titres, et même les coffres-forts loués dans une banque. C’est une base alimentée par les établissements bancaires à chaque création de compte, donc très complète et tenue à jour.

Dans cette affaire, l’État a expliqué qu’un “acteur malveillant” a consulté des données via des identifiants usurpés donnant accès au Ficoba. La précision importante, c’est ce que le Ficoba ne contient pas: pas le solde, pas la liste des opérations. Tu ne peux pas y lire “Marc a 2 314 sur son Livret A”. Ça limite les dégâts directs, mais ça ne rend pas la fuite anodine.

Ce qui peut se retrouver exposé, c’est du lourd pour l’ingénierie sociale: coordonnées bancaires (RIB/IBAN), identité du titulaire, adresse, et dans certains cas l’identifiant fiscal. Avec ça, un escroc peut te contacter en connaissant déjà des infos que, normalement, seuls toi, ta banque ou l’administration sont censés maîtriser. Résultat, tu risques de croire à un vrai interlocuteur.

Et c’est là que beaucoup se trompent de combat. On se focalise sur “est-ce qu’ils peuvent prendre mon argent?” alors que le vrai sujet, c’est “est-ce qu’ils peuvent me manipuler?”. Un IBAN ne suffit pas toujours à faire n’importe quoi, mais il suffit souvent à construire une histoire crédible. Et une histoire crédible, ça ouvre des portes: accès à ton espace bancaire, nouveaux contrats, démarches à ton nom.

Prélèvements SEPA: l’arnaque discrète qui peut durer des mois

Le scénario le plus concret, c’est l’usage des RIB/IBAN pour tenter des prélèvements SEPA. Typiquement: un “abonnement” téléphonique, une box, un service en ligne, un truc à 9,99 qui passe sous le radar. Sur le papier, les banques sont censées s’assurer que l’autorisation de prélèvement vient bien du titulaire. Dans la vraie vie, les contrôles peuvent être trop légers, et les fraudeurs le savent.

Ce type de fraude est sournois parce qu’il ne ressemble pas à un braquage. Tu ne vois pas un gros virement qui part. Tu vois une ligne de prélèvement, parfois avec un libellé flou, et tu te dis “ça doit être un truc que j’ai oublié”. Et si tu ne surveilles pas, ça peut s’installer. Les montants modestes, c’est une stratégie: moins de chances de déclencher une alerte chez toi.

Exemple concret – vu et revu: tu repères un prélèvement “SEPA TELCO-SERV” de 12,90. Tu te dis que c’est peut-être ton opérateur, ou une option. Un mois passe, puis deux. Tu finis par appeler, tu galères à identifier le créancier, et tu comprends que tu as payé pour rien. Le temps perdu, c’est aussi de l’argent. Et pendant que tu cherches, l’escroc tente parfois d’autres variantes.

Le truc, c’est que ce risque existe même sans accès à tes comptes en ligne. Il repose sur tes coordonnées et sur des process parfois trop permissifs. Et si tu as plusieurs comptes (un joint, un pro, un épargne), tu multiplies les zones à surveiller. Dans une fuite de masse, les fraudeurs testent, ils industrialisent, ils passent au suivant quand ça coince. C’est froid, c’est mécanique.

Vishing: quand l’escroc se fait passer pour ton banquier

Le premier risque mis en avant par pas mal de pros, c’est le vishing – l’arnaque par téléphone. Le principe: un type t’appelle, se présente comme “le service fraude” de ta banque, te parle d’une “tentative de piratage”, et te met sous pression. Ce qui change avec des données Ficoba dans la nature, c’est qu’il peut citer ton adresse, ton IBAN, parfois des éléments fiscaux. Tu te dis “ok, il sait”.

Et là, l’escroc déroule. Il te demande de “valider” une opération, de “confirmer” un code, de “réinitialiser” ton accès, ou de “mettre tes fonds à l’abri” en faisant un virement vers un compte soi-disant sécurisé. C’est un classique: on te vend une urgence, on te coupe le temps de réfléchir, et on te fait faire toi-même l’action irréversible. Pas besoin de hacker: tu appuies sur le bouton.

Un ancien responsable bancaire, Régis Dos Santos, a rappelé que des escrocs peuvent générer des prélèvements SEPA, ouvrir des lignes téléphoniques, voire tenter des crédits conso. Il nuance quand même: selon lui, pour certaines fraudes plus lourdes, il faudrait des amateurs ou des conditions particulières. C’est la nuance utile: tout n’est pas automatique. Mais le vishing, lui, marche trop bien, parce qu’il vise le cerveau, pas le système.

Le détail qui tue: ces appels arrivent souvent au “bon moment”. Juste après une annonce de piratage, juste après un mail “sécurité”, juste quand tu es déjà inquiet. Et l’escroc s’appuie sur ton émotion. Perso, c’est ça qui m’agace le plus: on te vole ta tranquillité. Tu passes tes journées à douter de chaque SMS, de chaque appel. Et c’est exactement ce qu’ils cherchent: te fatiguer pour que tu lâches.

Usurpation d’identité: ouvrir des comptes, des lignes, des dossiers

Quand identité + adresse + IBAN circulent, l’usurpation d’identité devient un risque sérieux. Pas forcément pour “prendre ton argent” immédiatement, mais pour agir en ton nom. Ouvrir une ligne téléphonique, souscrire un service, tenter un crédit conso, ou monter un dossier qui va te retomber dessus plus tard. Le Ficoba n’est pas censé donner accès à tes mots de passe, mais il donne des briques d’identité très exploitables.

Ce qui complique tout, c’est la temporalité. Une usurpation peut se déclarer des semaines après la fuite. Tu reçois un courrier de relance, une facture, ou tu découvres un contrat que tu n’as jamais signé. Et tu te retrouves à prouver que tu n’es pas toi – la phrase paraît absurde, mais c’est exactement ça. Tu dois reconstituer, contester, garder des preuves, parfois porter plainte.

Il existe aussi un réflexe méconnu: demander l’accès au Ficoba à titre personnel, dans des conditions précises, pour vérifier si un compte a été ouvert à ton nom. C’est utile quand tu as un doute sérieux. Ce n’est pas un geste “panique” à faire tous les matins, mais c’est une option dans la boîte à outils. Et dans une période où des identifiants ont été usurpés, ça peut aider à lever un doute.

Le revers de la médaille, c’est qu’on te dit souvent “surveillez”, sans te dire comment survivre à la paperasse. Si tu dois contester, fais-le proprement: garde les captures, les mails, les références, les dates, et privilégie l’écrit avec ta banque ou le service concerné. Ça fait vieux jeu, mais c’est ce qui laisse une trace. Dans les litiges, la trace écrite vaut de l’or.

Les gestes concrets: surveillance, contestation, mots de passe, double facteur

Première ligne de défense: surveiller ses comptes, vraiment. Pas une fois par trimestre. Plutôt chaque semaine pendant quelque temps si tu te sens exposé. Et surtout, vérifie les autorisations de prélèvement et les prélèvements inconnus. Une “mise à jour de mandat” douteuse, un créancier que tu ne reconnais pas, un petit montant qui revient: tu notes, tu compares, tu agis. Le but, c’est de couper court.

Si tu vois une opération inconnue, tu ne te contentes pas d’un coup de fil vague. Tu contestes auprès de ta banque, par écrit si possible, en gardant une copie. Tu demandes quoi faire pour bloquer la récurrence, et tu suis les étapes. Et si tes coordonnées bancaires ont pu être exposées via un compte piraté ailleurs, tu préviens ta banque sans attendre. Ce n’est pas “parano”, c’est de l’hygiène.

Deuxième ligne: sécuriser tes accès, parce que le vishing et le phishing cherchent souvent à te voler l’entrée, pas à forcer la porte. Mots de passe différents et complexes pour chaque service, et double authentification dès que c’est possible. Cybermalveillance. gouv. fr le martèle: un mot de passe réutilisé, c’est une autoroute. Et le double facteur, c’est souvent ce qui bloque un escroc même s’il a récupéré ton identifiant.

Troisième ligne: la discipline face aux sollicitations. Tu ne communiques jamais d’informations sensibles à quelqu’un qui t’appelle. Même s’il a ton adresse. Même s’il récite ton IBAN. Tu raccroches, tu rappelles via le numéro officiel (celui de ton application bancaire ou de ton relevé), et tu reprends la main. Et si un de tes comptes a été piraté, tu préviens tes contacts pour éviter l’effet boule de neige: l’arnaque qui se propage via ton identité.

Si tu veux un truc simple à retenir: ils n’ont pas besoin de ton solde pour te faire mal. Ils ont besoin que tu doutes, que tu te presses, que tu cliques. Et ça, ça se combat avec du calme, des vérifs, et un peu de méthode – même quand tu as l’impression de perdre du temps.