DGFiP / FICOBA : accès illégitime
La DGFiP a confirmé un accès illégitime au FICOBA exposant les données de 1,2 million de comptes bancaires de titulaires résidant en France, via l'usurpation des identifiants d'un agent.
- Organisation
- Direction générale des Finances publiques (DGFiP), FICOBA (Fichier national des comptes bancaires)
- Secteur
- Secteur public
- Pays
- France
- Date des faits
- Intrusion fin janvier 2026 ; consultations illégitimes détectées entre le 28 janvier et le 13 février 2026
- Ampleur
- 1,2 million de comptes bancaires (soit moins de 1 % des coordonnées enregistrées dans le fichier)
- Vecteur
- usurpation des identifiants d'un agent (compte légitime compromis)
- Données exposées
- Identité du titulaire, Adresse postale, Coordonnées bancaires (RIB/IBAN), Identifiant fiscal (mentionné par certaines sources, contesté par la DGFiP)
La Direction générale des Finances publiques (DGFiP) a confirmé, dans un communiqué officiel du 18 février 2026, un accès illégitime au FICOBA, le Fichier national des comptes bancaires. Selon l’administration, un acteur malveillant a usurpé les identifiants d’un agent disposant d’un accès légitime au fichier, dans le cadre des échanges d’information inter-ministériels. L’intrusion remonterait à la fin janvier 2026, les consultations illégitimes ayant été détectées entre le 28 janvier et le 13 février 2026. Aucune faille technique ni contournement de pare-feu n’a été évoqué : l’attaquant s’est authentifié avec des identifiants valides, ce qui complique structurellement la détection.
L’incident a exposé les données d’environ 1,2 million de comptes bancaires, soit, selon la DGFiP, moins de 1 % des coordonnées enregistrées dans le fichier. Les données concernées comprennent l’identité du titulaire, son adresse postale et ses coordonnées bancaires (RIB/IBAN). L’administration précise que le fichier ne contient ni solde, ni détail des opérations, ni mot de passe. Les titulaires de comptes concernés résident en France.
Un point reste à clarifier concernant l’identifiant fiscal : l’indice de périmètre initial et plusieurs reprises de presse évoquent une exposition « dans certains cas », mais la mise à jour officielle de la DGFiP (FAQ du 27 février 2026) indique que l’identifiant fiscal des usagers n’a pas été accédé. Cet élément doit donc être considéré comme non confirmé, la source officielle penchant pour une absence d’exposition.
La DGFiP indique avoir déposé plainte et notifié l’incident à la CNIL, en lien avec les services du ministère des Finances et l’ANSSI. Des mesures de restriction d’accès ont été prises dès la détection pour stopper l’attaque, et les titulaires concernés font l’objet de notifications individuelles. Les autorités alertent sur les risques d’hameçonnage (phishing) consécutifs, rappelant que l’administration fiscale ne demande jamais d’identifiants ou de coordonnées bancaires par message.