Fuite de données FICOBA : 1,2 million de comptes bancaires compromis par des accès illégaux

Une intrusion via des accès officiels détournés

L'incident ne provient pas d'une vulnérabilité logicielle de type 0-day dans l'infrastructure de la Direction Générale des Finances Publiques (DGFiP), mais d'un usage détourné d'habilitations. Des individus ont utilisé des accès réservés à des agents habilités (huissiers, forces de l'ordre ou agents du fisc) pour interroger massivement la base de données.

• Cible : Le fichier FICOBA, qui recense l'ouverture, la modification et la clôture de tous les comptes (bancaires, épargne, titres) en France.

• Volume : Environ 1,2 million de comptes consultés de manière illégitime.

• Données exposées : Identité des titulaires (nom, prénom, date de naissance, adresse) et références bancaires (IBAN, BIC, établissement).

Analyse technique de l'exfiltration

Contrairement à un "dump" de base de données classique via une injection SQL, l'attaque repose ici sur le scraping de masse via des comptes légitimes compromis ou "loués" sur le darknet.

• Cas FICOBA : Abus de privilèges (Privilege Abuse) et contournement des systèmes de détection d'anomalies de requêtes (Rate Limiting).

L'absence de systèmes de surveillance comportementale assez fins a permis à ces requêtes de passer sous les radars pendant une période prolongée, avant que les audits de cohérence de la DGFiP ne déclenchent l'alerte.

Souveraineté et protection des données d'État

Cette affaire pose la question de la souveraineté numérique des données citoyennes. Le FICOBA est une pièce maîtresse de la lutte contre la fraude fiscale et le financement du terrorisme. Sa compromission offre une mine d'or pour le phishing ciblé (virements frauduleux) et l'usurpation d'identité.

L'enjeu n'est plus seulement de sécuriser le périmètre réseau, mais de renforcer la gestion des identités et des accès (IAM) pour les tiers autorisés, souvent maillons faibles de la chaîne de cybersécurité étatique.