Le 18 février, l’administration fiscale a reconnu un piratage d’ampleur inédite visant le fichier national des comptes bancaires et assimilés, plus connu sous le nom de Ficoba. Derrière cet acronyme technique se cache une base stratégique gérée par la Direction générale des finances publiques, qui recense l’ensemble des comptes bancaires ouverts en France.
Il ne s’agit pas d’un incident anecdotique. Environ 1,2 million de comptes seraient concernés. Et même si les soldes n’ont pas été exposés, les données compromises suffisent à alimenter des fraudes sophistiquées.
Voici ce que vous devez comprendre, et surtout ce que vous devez faire.
Qu’est-ce que le Ficoba et quelles données ont été piratées ?
Le Ficoba est un fichier administratif alimenté à chaque ouverture de compte bancaire, postal ou d’épargne auprès d’un établissement français. Il ne contient ni le détail des opérations ni le solde des comptes. La Commission nationale de l’informatique et des libertés rappelle d’ailleurs que ce fichier ne retrace pas les mouvements financiers.
En revanche, il centralise des informations sensibles :
- Les numéros de comptes, donc les RIB.
- L’identité des titulaires.
- Leur adresse.
- Dans certains cas, leur identifiant fiscal.
Autrement dit, des éléments parfaitement exploitables pour usurper une identité bancaire ou monter une escroquerie crédible.
Comment savoir si vous êtes concerné par le piratage ?
L’administration fiscale a indiqué que les personnes concernées seraient informées individuellement dans les jours suivant la découverte de l’attaque. Cette information pourrait transiter par votre banque.
En pratique, si vous ne recevez aucune notification, cela ne signifie pas automatiquement que vous êtes hors de danger. Les délais de communication peuvent varier. Et il est rare que l’administration communique avec une transparence totale sur ce type d’incident.
La meilleure attitude consiste donc à adopter immédiatement une vigilance renforcée, notification reçue ou non.
Quels sont les risques concrets pour votre compte bancaire ?
Beaucoup se rassurent en pensant que les soldes n’ont pas été exposés. C’est une erreur.
Un RIB suffit à mettre en place un prélèvement SEPA. Théoriquement, une autorisation doit être signée par le titulaire du compte. Dans la réalité, les contrôles sont parfois superficiels, surtout pour des abonnements téléphoniques ou des services en ligne.
Voir : Comment faire opposition à un prélèvement ? et Comment empêcher les prélèvements inconnus dans sa banque ?
Le premier risque est donc la mise en place de prélèvements frauduleux. Vous pourriez découvrir un débit inconnu correspondant à un service que vous n’avez jamais souscrit.
Le second risque est plus insidieux : l’escroquerie par ingénierie sociale. Un fraudeur disposant de votre nom, de votre adresse et de votre RIB peut se faire passer pour votre conseiller bancaire avec une crédibilité redoutable. Il peut prétendre détecter une tentative de piratage et vous pousser à « sécuriser » vos fonds en les transférant vers un compte qu’il contrôle.
Ce scénario est malheureusement classique. Et il fonctionne. Et surtout dans ce cas, de nombreux voleurs utiliseront JUSTEMENT de vol de données Ficoba pour se faire passer pour des gens vous aidant à empêcher le vol d’argent « à cause du problème Ficoba ».
Que faire immédiatement pour se protéger ?
Si vos données figurent parmi celles compromises, vous devez surveiller vos comptes avec rigueur. Consultez régulièrement vos opérations via l’application mobile ou votre espace client en ligne. À la moindre anomalie, faites opposition sans délai.
En matière de prélèvement SEPA non autorisé, vous disposez en principe d’un délai de 8 semaines pour contester une opération autorisée et de 13 mois si le prélèvement n’a jamais été valablement autorisé. Encore faut-il agir rapidement et conserver les justificatifs.
Ne vous faites pas non plus balader par les banques qui tentent toujours, en cas de problème, de refuser de rembourser quand elles sont dans leur tort: Refus de remboursement par la banque suite à une fraude bancaire: que faire ?
Soyez également extrêmement prudent face aux communications reçues par e-mail, SMS, téléphone ou courrier. Une banque ne demande jamais vos identifiants, votre mot de passe ou votre code de validation par messagerie ou par téléphone. En d’autres mots, si quelqu’un vous appelle ou vous contacter en se faisant passer pour votre banque, raccrochez, ne répondez pas .. ou donnez les coordonnées de votre pire ennemi 😉
Si un interlocuteur vous presse d’agir dans l’urgence, mettez fin à la conversation et contactez directement votre établissement via les canaux habituels : application mobile officielle, numéro figurant au dos de votre carte bancaire ou sur le site institutionnel.
Un message authentique de votre banque vous invitera rarement à cliquer sur un lien externe mais là aussi ATTENTION. La plupart des échanges passent désormais par votre messagerie sécurisée intégrée à votre espace client.
Faut-il changer de RIB ou fermer son compte ?
Dans certains cas, demander un changement de compte peut être pertinent, notamment si des tentatives de prélèvements frauduleux se multiplient. Cela implique toutefois des démarches administratives lourdes : mise à jour auprès des employeurs, organismes sociaux, fournisseurs d’énergie, assurances, opérateurs télécoms et administration fiscale.
Avant d’en arriver là, vérifiez si votre banque propose des services d’alerte en temps réel sur les mouvements de compte ou la mise en place de nouveaux mandats de prélèvement. Ces outils permettent de détecter rapidement une anomalie.
Que faire si vous êtes victime d’une fraude ?
Si un prélèvement frauduleux apparaît ou si vous avez communiqué des informations sensibles à un escroc, agissez immédiatement.
Faites opposition auprès de votre banque. Demandez le remboursement du prélèvement contesté. Conservez toutes les preuves : captures d’écran, e-mails, SMS, relevés d’appel.
Encore une fois: Refus de remboursement par la banque suite à une fraude bancaire: que faire ?
Il est recommandé de signaler l’escroquerie sur la plateforme officielle Cybermalveillance.gouv.fr, qui centralise les conseils et démarches à suivre. Le dépôt de plainte reste également une étape importante, notamment pour enclencher certaines procédures d’indemnisation.
Ce que ce piratage révèle sur la sécurité bancaire
Cet incident rappelle une réalité que beaucoup préfèrent ignorer : la centralisation massive de données sensibles crée mécaniquement des cibles attractives pour les pirates.
Même si les soldes ne sont pas exposés, l’accès aux identités et aux RIB constitue une mine d’or pour les fraudeurs. Les banques et l’administration promettent des contrôles renforcés. L’expérience montre que la vigilance individuelle reste la meilleure protection.
Surveiller ses comptes, comprendre ses droits en matière de prélèvement SEPA, refuser toute communication douteuse et agir rapidement en cas d’anomalie sont aujourd’hui des réflexes indispensables.
Le piratage du Ficoba n’est pas un simple fait divers informatique. C’est un signal d’alerte pour tous les titulaires de comptes bancaires en France.