Voici le billet de blog complet :
Piratage du FICOBA : après le vol de données, les arnaques frappent à votre porte
Imaginez recevoir ce SMS un matin : « Caisse d’Épargne : une tentative de paiement de 924,99 € est en cours sur votre compte. Si vous ne reconnaissez pas cette opération, appelez d’urgence le 01 89… » Le cœur s’emballe. On hésite. Et c’est exactement ce que les escrocs attendent.
Ce scénario n’est pas fictif — c’est ce qu’a vécu l’un des lecteurs du site Presse-Citron il y a quelques jours. Et derrière ce SMS, il y a une affaire bien réelle qui concerne potentiellement des millions de Français.
Le FICOBA, c’est quoi exactement ?
Le Fichier National des Comptes Bancaires et Assimilés, dit FICOBA, est une base de données gérée par l’administration française. Elle recense l’ensemble des comptes bancaires ouverts sur le territoire. Les informations qu’elle contient sont sensibles : numéro de compte, IBAN, RIB, mais aussi l’identité du titulaire, son adresse et, dans certains cas, son identifiant fiscal.
Normalement, seuls certains agents de l’État — dans des cadres précis d’échange entre ministères — peuvent y accéder. C’est justement cette porte d’entrée qu’un pirate a exploitée.
Comment le pirate a-t-il procédé ?
En janvier 2026, un acteur malveillant a réussi à usurper les identifiants d’un fonctionnaire disposant d’accès légitimes au FICOBA. Grâce à cette usurpation, il a pu consulter discrètement une partie importante du fichier. Résultat : les données bancaires de 1,2 million de comptes ont été compromises.
Le ministère de l’Économie a confirmé l’incident le 18 février 2026, précisant avoir pris des mesures immédiates pour limiter l’étendue des données extraites et prévenir toute nouvelle consultation illégitime. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a été associée à la gestion de la crise. Les personnes concernées devaient être avisées par leur banque dans les jours suivants.
Des arnaques redoutablement ciblées
C’est là que la situation devient vraiment préoccupante. Armés de ces données très précises (votre nom, votre adresse, votre IBAN, le nom de votre banque…), des escrocs ont désormais tous les outils pour vous piéger de façon très convaincante.
La technique utilisée s’appelle le smishing (hameçonnage par SMS). Un faux message, qui semble provenir de votre banque, vous alerte d’une transaction suspecte et vous invite à rappeler en urgence un numéro. Si vous composez ce numéro, un faux conseiller bancaire décroche. Il connaît votre banque, peut-être votre nom. Il vous met en confiance… avant de vous soutirer des informations confidentielles ou de vous pousser à valider une opération frauduleuse.
Comme l’explique le site gouvernemental cybermalveillance.gouv.fr, l’objectif final de ces appels est toujours le même : vous faire perdre de l’argent, en jouant sur l’urgence et la peur.
D’autres formes d’arnaque sont également possibles à partir des données du FICOBA : émission de faux mandats de prélèvement SEPA en utilisant votre IBAN, ou tentatives de fraude auprès de services publics en se faisant passer pour vous.
Les bons réflexes pour ne pas tomber dans le piège
Face à ces tentatives de plus en plus sophistiquées, voici les règles d’or à retenir :
Ne rappelez jamais le numéro indiqué dans un SMS ou un e-mail suspect. Si un message vous signale une anomalie sur votre compte, raccrochez et appelez vous-même votre banque via le numéro officiel figurant au dos de votre carte bancaire ou sur votre relevé de compte.
Méfiez-vous de l’urgence. Les escrocs cherchent à vous faire agir vite, sans réfléchir. Prenez toujours le temps de vérifier par vous-même.
Signalez les tentatives. Un SMS frauduleux se signale au 33700. Un e-mail suspect peut être transmis à Signal Spam. Et toute tentative d’arnaque en ligne peut être déclarée sur la plateforme officielle du ministère de l’Intérieur : internet-signalement.gouv.fr (Pharos).
Activez les alertes de votre banque. La plupart des établissements proposent des notifications en temps réel pour chaque mouvement sur votre compte. C’est un filet de sécurité précieux.
Si vous avez déjà rappelé ou transmis des informations, agissez sans attendre : contactez votre banque pour faire opposition, conservez toutes les preuves (captures d’écran, messages reçus, relevés de compte), et déposez plainte au commissariat ou à la gendarmerie.
Une affaire qui pose des questions plus larges
Cette intrusion dans le FICOBA rappelle que même les systèmes de l’État ne sont pas à l’abri d’une faille humaine. L’usurpation des identifiants d’un fonctionnaire — et non une attaque technique sophistiquée — suffit à compromettre des données à grande échelle.
Cela soulève une question importante : quelle protection offrons-nous réellement aux données sensibles des citoyens ? Et comment renforcer les accès aux fichiers administratifs stratégiques pour éviter ce type de scénario à l’avenir ?
En attendant les réponses institutionnelles, la vigilance reste notre meilleure défense. Et vous, avez-vous reçu des messages suspects ces dernières semaines ? N’hésitez pas à partager votre expérience en commentaire — cela peut aider d’autres lecteurs à reconnaître une tentative d’arnaque.
Sources :
