- Le ministère de l’Économie a annoncé mercredi que des données liées à environ 1,2 million de comptes bancaires ont été consultées de façon « illégitime » depuis la fin janvier, après l’usurpation d’identifiants donnant accès au fichier national des comptes bancaires, le Ficoba.
- Une plainte a été déposée et la Cnil a été saisie, tandis que les personnes concernées vont être informées individuellement.
Les faits ont été mis au jour à l’issue d’investigations menées par la Direction générale des finances publiques (DGFiP). Selon Bercy, ces vérifications ont permis d’identifier « des accès » à une base particulièrement sensible : le Ficoba, qui recense l’ensemble des comptes ouverts dans les établissements bancaires français.
D’après le ministère, un « acteur malveillant » aurait obtenu l’accès en procédant à « l’usurpation des identifiants » d’un compte habilité. Résultat : des données de quelque 1,2 million de comptes bancaires ont été consultées depuis la fin janvier.
Le Ficoba, un fichier sensible réservé à des accès strictement encadrés
En temps normal, l’accès au Ficoba est limité à un périmètre restreint : agents de l’administration fiscale, administrations financières (comme les douanes), magistrats et officiers de police judiciaire. Cet accès est encadré et suppose, au préalable, une levée du secret professionnel.
L’épisode révèle donc un risque majeur : lorsque des identifiants d’un accès autorisé sont détournés, un fichier conçu pour des besoins administratifs et judiciaires peut devenir une cible de choix.
Quelles données ont pu être exposées ?
La question centrale porte désormais sur la nature des informations susceptibles d’avoir été récupérées. Sur ce point, Bercy détaille le contenu accessible via le Ficoba : « coordonnées bancaires (RIB/Iban), identité du titulaire, adresse et, dans certains cas, l’identifiant fiscal de l’usager (…) ».
Le ministère précise toutefois un élément clé destiné à limiter les craintes immédiates : le Ficoba « ne permet pas de consulter les soldes des comptes bancaires, a fortiori de faire des opérations ». Autrement dit, il ne s’agit pas d’un accès direct aux fonds, mais d’une exposition potentielle de données d’identification et de coordonnées bancaires.
Information des clients, plainte déposée et signalement à la Cnil
Bercy indique que les titulaires de comptes concernés recevront « dans les tous prochains jours une information individuelle les alertant ». En parallèle, le ministère précise qu’un dépôt de plainte a déjà été effectué, ainsi qu’un signalement à la Commission nationale de l’informatique et des libertés (Cnil).
Cette séquence ouvre une phase de gestion de crise : notification des personnes touchées, suivi des investigations et renforcement des dispositifs de sécurité autour des accès au fichier.
Ce que doivent retenir les usagers
Même sans accès aux soldes, la présence d’un RIB/IBAN, d’une identité et d’une adresse peut alimenter des tentatives d’escroquerie (faux conseillers bancaires, faux créanciers, phishing). Les autorités recommandent généralement de rester vigilant face aux sollicitations inhabituelles, surtout si elles invoquent une urgence, demandent des informations bancaires ou incitent à valider une opération.