CYBERHACK
Actualités

FICOBA : quand votre IBAN devient un appât à fraude

La fuite FICOBA ne signifie pas que des fraudeurs peuvent vider un compte bancaire d’un clic. Mais elle leur donne autre chose de très précieux : des informations crédibles pour fabriquer des...

Par admin
Publié le 25/04/2026
7 min de lecture
fuite de données, FICOBA, IBAN, fraude bancaire
FICOBA : quand votre IBAN devient un appât à fraude

On imagine souvent qu’une fuite de données devient grave uniquement quand elle contient un mot de passe ou une carte bancaire.

C’est rassurant.

C’est aussi un peu faux.

L’affaire FICOBA le montre très bien. Le fichier FICOBA recense les comptes bancaires ouverts dans les établissements français. En février 2026, la DGFiP a identifié des accès illégitimes à une partie de ce fichier après usurpation des identifiants d’un fonctionnaire. Les données concernées incluent notamment des coordonnées bancaires RIB/IBAN, l’identité du titulaire et son adresse. Le ministère indique que la fuite concernerait 1,2 million de comptes, soit moins de 1 % des coordonnées du fichier. (economie.gouv.fr)

Alors non, un IBAN seul ne permet pas à un escroc de vider un compte bancaire comme dans un mauvais film du dimanche soir.

Mais oui, il peut devenir un excellent ingrédient pour fabriquer une arnaque beaucoup plus crédible.

Et c’est là que les ennuis commencent.

Ce qui s’est passé, en clair

Selon le ministère de l’Économie, un acteur malveillant a usurpé les identifiants d’un fonctionnaire ayant accès au fichier dans le cadre d’échanges entre ministères. Dès la détection de l’incident, des restrictions d’accès ont été mises en place pour stopper l’attaque et limiter les données consultées et extraites. Le ministère précise aussi que l’identifiant fiscal n’a pas été consulté lors de ces accès illégitimes. (Presse - Ministère des Finances)

C’est important de le dire, parce qu’il faut éviter deux excès :

  1. minimiser en disant “ce n’est qu’un IBAN” ;
  2. paniquer en pensant que les comptes peuvent être vidés immédiatement.

La vérité est entre les deux.

Et comme souvent en cybersécurité, elle est moins spectaculaire, mais plus intéressante.

Le vrai risque : l’arnaque qui sonne juste

Un fraudeur n’a pas toujours besoin de tout savoir.

Il a surtout besoin d’en savoir assez pour paraître crédible.

Avec un nom, une adresse et un IBAN, il peut construire des messages beaucoup plus convaincants :

  1. faux conseiller bancaire ;
  2. faux service administratif ;
  3. fausse régularisation ;
  4. faux contrôle de sécurité ;
  5. faux remboursement ;
  6. fausse demande de validation.

Le ministère demande d’ailleurs aux personnes concernées d’être particulièrement méfiantes face aux appels, e-mails, SMS ou messages de personnes prétendant les connaître à partir des informations dérobées. Il cite notamment les risques de demandes de codes, mots de passe, numéros de carte bancaire, copies de documents d’identité ou validations d’opérations bancaires. (economie.gouv.fr)

En clair : le danger n’est pas l’IBAN qui attaque tout seul.

L’IBAN n’a pas de cape, pas de cagoule, pas de clavier mécanique.

Le danger, c’est l’escroc qui l’utilise pour vous faire penser :

“Ah oui, s’il connaît ça, c’est sûrement légitime.”

Pourquoi cela concerne aussi les PME

On pourrait croire que cette fuite concerne uniquement les particuliers.

Pas vraiment.

Les PME doivent aussi s’y intéresser, parce que les mêmes mécanismes peuvent viser :

  1. les dirigeants ;
  2. les services comptables ;
  3. les assistants de gestion ;
  4. les responsables RH ;
  5. les personnes qui valident les paiements ;
  6. les collaborateurs qui reçoivent des appels clients ou fournisseurs.

Un scénario très simple peut suffire :

“Bonjour, je vous appelle au sujet d’une vérification bancaire. Nous avons déjà votre IBAN se terminant par XXXX et votre adresse. Il manque seulement une confirmation…”

C’est basique.

C’est vieux comme le monde.

Et malheureusement, ça marche encore, surtout quand l’appel arrive au mauvais moment, avec le bon ton, et juste assez d’informations exactes.

Cybermalveillance.gouv.fr rappelle que les données personnelles volées — noms, adresses, e-mails, RIB dans certains cas — ont une forte valeur pour les cybercriminels, qui peuvent les utiliser pour des escroqueries ciblées ou les revendre à d’autres acteurs. (CYBERMALVEILLANCE.GOUV.FR)

Le piège psychologique : “ils savent déjà”

La plupart des fraudes réussies ne gagnent pas parce qu’elles sont techniquement géniales.

Elles gagnent parce qu’elles créent un moment de doute.

Le fraudeur cite votre nom.

Puis votre adresse.

Puis une donnée bancaire partielle.

Puis il ajoute une urgence.

Et votre cerveau fait le reste.

“Il a l’air au courant.”

“Ça doit être officiel.”

“Je vais juste confirmer.”

“Je n’ai pas envie de bloquer mon compte.”

C’est exactement le mécanisme recherché.

La fuite ne donne pas forcément la clé du coffre. Elle donne de quoi fabriquer un uniforme crédible.

Ce qu’il ne faut surtout pas faire

Première règle : ne jamais valider une opération bancaire parce que quelqu’un au téléphone connaît déjà une partie de vos informations.

Deuxième règle : ne jamais transmettre :

  1. mot de passe ;
  2. code SMS ;
  3. code de validation bancaire ;
  4. copie de pièce d’identité ;
  5. numéro de carte bancaire ;
  6. accès à un espace client ;
  7. validation d’opération à distance.

Le ministère rappelle que l’administration fiscale ne demande jamais vos identifiants ni votre numéro de carte bancaire par message, et recommande de contacter directement son service via un canal officiel en cas de doute. (Presse - Ministère des Finances)

En version courte : si quelqu’un vous presse, ralentissez.

Si quelqu’un vous rassure trop, vérifiez.

Si quelqu’un veut un code, raccrochez.

Les conséquences réelles à surveiller

Les conséquences les plus probables ne sont pas forcément immédiates.

Elles peuvent apparaître dans les semaines ou mois suivants.

1. Hameçonnage plus crédible

Les messages frauduleux deviennent plus personnalisés et plus difficiles à balayer d’un simple “ça sent l’arnaque”.

2. Faux conseiller bancaire

C’est probablement l’un des scénarios les plus évidents : appel ou message prétendant vérifier une opération, bloquer une fraude ou sécuriser le compte.

3. Usurpation d’identité

Cybermalveillance.gouv.fr définit l’usurpation d’identité comme l’utilisation d’informations personnelles permettant d’identifier une personne sans son accord pour réaliser des actions frauduleuses. Les conséquences peuvent aller jusqu’à l’ouverture de comptes, la souscription de crédits ou d’autres démarches frauduleuses selon les informations récupérées. (CYBERMALVEILLANCE.GOUV.FR)

4. Prélèvements non autorisés

Le ministère indique que, plus marginalement, les personnes concernées peuvent être exposées à des tentatives de prélèvements bancaires non autorisés, tout en précisant qu’une copie de papiers d’identité est également nécessaire pour cela. (economie.gouv.fr)

5. Fatigue et méfiance généralisée

Après plusieurs fuites, les gens finissent par ne plus savoir quoi croire. Et cette fatigue est aussi un risque : soit on panique, soit on ne réagit plus à rien.

Les deux arrangent les fraudeurs.

Ce que les entreprises devraient faire maintenant

Pour les PME, il y a quelques actions simples à mettre en place.

Prévenir les équipes sensibles

Comptabilité, RH, direction, accueil, support : ce sont souvent les premiers points de contact utilisés par les fraudeurs.

Mettre une règle claire sur les informations bancaires

Aucun changement de RIB, aucun remboursement inhabituel, aucune validation financière sensible ne doit se faire sur un seul canal.

Vérifier hors bande

Si un appel semble bancaire ou administratif, on raccroche et on rappelle via un numéro officiel déjà connu.

Documenter les tentatives suspectes

Un appel étrange isolé peut sembler anodin. Plusieurs appels similaires sur une semaine peuvent révéler une campagne.

Sensibiliser sans faire peur

Le message doit être simple : les fraudeurs peuvent connaître de vraies informations. Cela ne prouve pas qu’ils sont légitimes.

Analyse Cyberhack : le risque n’est pas la donnée seule, c’est le scénario

Le point central est celui-ci : une donnée isolée est rarement catastrophique.

Mais une donnée intégrée dans un scénario bien construit devient dangereuse.

Un IBAN + un nom + une adresse + un appel convaincant + une urgence = une fraude possible.

C’est pour cela que les entreprises doivent arrêter de raisonner uniquement en “type de donnée”.

Il faut raisonner en usage frauduleux possible.

La bonne question n’est pas seulement :

“Qu’est-ce qui a fuité ?”

La bonne question est :

“Quelle histoire un fraudeur peut-il raconter avec ce qui a fuité ?”

Conclusion

La fuite FICOBA n’est pas un bouton magique permettant aux fraudeurs de vider les comptes.

Mais elle leur donne quelque chose de presque aussi utile : de la crédibilité.

Et dans les arnaques modernes, la crédibilité est parfois plus dangereuse que la technique.

Le bon réflexe n’est donc ni la panique, ni le haussement d’épaules.

Le bon réflexe, c’est la méfiance organisée : vérifier par un canal officiel, refuser les demandes urgentes, ne jamais donner de code, et rappeler aux équipes que quelqu’un qui connaît une vraie information n’est pas forcément quelqu’un de légitime.

Parce qu’au fond, le fraudeur moderne n’a pas toujours besoin d’entrer par effraction.

Parfois, il sonne à la porte avec votre IBAN à la main — et espère que vous lui ouvrirez poliment.

Articles recommandés

Partager cet article

Twitter LinkedIn Email