577 577députés 17ᵉ législature

Question écrite n° 13264 Réponse publiée Source officielle ↗

Piratage du FICOBA

Auteur : Hadrien Clouet — La France insoumise - Nouveau Front Populaire (Haute-Garonne · 1ᵉ circ.)
Ministère interrogé : Ministère de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique
Ministère attributaire : Ministère de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique
Rubrique : banques et établissements financiers
Date de la question : 2026-03-03
Date de la réponse : 2026-04-28 (56 jours)

Texte de la question

M. Hadrien Clouet interroge M. le ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique sur la défaillance gravissime des systèmes de protection des données informatiques de son ministère, ouvrant la voie à un piratage du fichier national des comptes bancaires (FICOBA). Ainsi, la fuite des données concernant au moins 1,2 million de comptes bancaires met en danger autant de citoyens. L'enquête des agents de la direction générale des finances publiques (DGFiP) indique que ces données ont été consultées et détournées dès la fin du mois de janvier 2026, en utilisant les identifiants de connexion d'un fonctionnaire du ministère. Toute la transparence doit être faite sur cette affaire. Cette attaque rappelle celle conduite contre le ministère de l'intérieur entre le 11 et le 16 décembre 2025. La CNIL indiquait alors que deux fichiers de police avaient été consultés illégalement : le traitement d'antécédents judiciaires (TAI) où figurent 17 millions de personnes - auteurs et victimes de crimes et délits - ainsi que le fichier des personnes recherchées (FPR). Parmi les données détournées se trouvent les coordonnées bancaires (RIB et IBAN), les identités complètes des titulaires de compte (noms, prénoms, dates de naissance, adresses, mails, numéros de téléphone, identifiant fiscal). Ces données peuvent être utilisées ou revendues et les victimes peuvent voir leur identité usurpée. Chaque année, dans le pays, des milliers de personnes sont déjà victimes de ce fléau qui détruit leur vie. Une telle fuite de données par défaillance de l'État ne peut donc qu'accélérer le phénomène. Si les services du ministère banalisent la situation en prétendant qu'aucun fond ne pourra être détourné, les experts contestent formellement cette analyse. Les informations volées suffisent à demander l'exécution de prélèvements pour un donneur d'ordres enregistré comme émetteur auprès d'un prestataire de service de paiements. De plus, le voleur peut produire un mandat de prélèvement frauduleux. Finalement, une souscription de biens ou de services peut être aussi payée par prélèvement, à partir d'un IBAN volé - donc aux frais de la victime. Il lui demande donc si ses services ont identifié les comptes concernés par ce piratage, comment il compte informer les personnes touchées et quelles mesures il mettra en place pour renforcer la sécurité du système d'information (SI) de son ministère.

Réponse ministérielle

La Direction Générale des Finances publiques (DGFiP) a communiqué le 18 février 2026 pour informer les usagers d'accès illégitimes au Fichier national des comptes bancaires (FICOBA). A compter de la fin janvier 2026 et jusqu'au vendredi 13 février, un acteur malveillant, qui a usurpé les identifiants d'un fonctionnaire extérieur à la DGFiP et disposant d'accès dans le cadre de l'échange d'information entre ministères, a pu consulter une partie de ce fichier qui recense l'ensemble des comptes bancaires ouverts dans les établissements bancaires français et contient des données à caractère personnel. La violation de données résulte ainsi de l'utilisation du compte d'un agent d'une administration tierce et non pas d'une exploitation de failles de sécurité de l'application. Conformément aux dispositions de l'article 33 du Règlement (UE) 2016/679 (RGPD), la DGFiP a notifié la violation de données liées aux consultations illégitimes des données du FICOBA auprès de la Commission Nationale de l'Informatique et des Libertés. Une première notification a été réalisée dès le 16 février 2026, complétée le 23 février dernier, avec les précisions nécessaires obtenues à l'issue des investigations internes menées sur l'incident. Parallèlement, l'information des usagers a été une priorité de la DGFiP. En complément du communiqué presse sur l'incident, la DGFiP a procédé à l'information individuelle des personnes concernées par la violation, en y intégrant des recommandations et des conseils, par courrier électronique ou à défaut, par courrier postal. Des éléments d'informations ont également été transmis aux établissements bancaires assurant la gestion des comptes compromis afin de leur permettre d'adapter leurs actions auprès de leurs clients et d'assurer une information complète de ces derniers. Dès la détection de cet incident, les accès externes à Ficoba ont été coupés et ils le demeurent jusqu'à sécurisation complète du système d'information concerné. En lien avec l'Agence Nationale pour la Sécurité des Systèmes d'Information (ANSSI), les travaux sont en cours pour améliorer le niveau de sécurité des accès externes de Ficoba. De façon plus générale, l'intensification de la cyber-malveillance conduit en permanence la DGFiP à élever son niveau de sécurisation de ses systèmes d'information et à mettre en place de nouveaux dispositifs de sécurité, par exemple la mise en place en juin 2025 d'un deuxième facteur d'authentification pour la connexion des usagers particuliers à leur espace "impots.gouv.fr".
Données brutes (debug) 
{"question": {"@xmlns": "http://schemas.assemblee-nationale.fr/referentiel", "@xmlns:xsi": "http://www.w3.org/2001/XMLSchema-instance", "@xsi:type": "QuestionEcrite_Type", "uid": "QANR5L17QE13264", "identifiant": {"numero": "13264", "regime": "5eme Republique", "legislature": "17"}, "type": "QE", "indexationAN": {"rubrique": "banques et établissements financiers", "teteAnalyse": null, "analyses": {"analyse": "Piratage du FICOBA"}}, "auteur": {"identite": {"acteurRef": "PA793736", "mandatRef": "PM842693"}, "groupe": {"organeRef": "PO845413", "abrege": "LFI-NFP", "developpe": "La France insoumise - Nouveau Front Populaire"}}, "minInt": {"organeRef": "PO873685", "abrege": "Économie, finances, souveraineté industrielle, énergétique et numérique", "developpe": "Ministère de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique"}, "minAttribs": {"minAttrib": {"infoJO": {"typeJO": "JO_QUESTION", "dateJO": "2026-03-03", "pageJO": null, "numJO": null, "urlLegifrance": null, "referenceNOR": null}, "denomination": {"organeRef": "PO873685", "abrege": "Économie, finances, souveraineté industrielle, énergétique et numérique", "developpe": "Ministère de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique"}}}, "textesQuestion": {"texteQuestion": {"infoJO": {"typeJO": "JO_QUESTION", "dateJO": "2026-03-03", "pageJO": "1805", "numJO": "20260009", "urlLegifrance": null, "referenceNOR": null}, "texte": "M. Hadrien Clouet interroge M. le ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique sur la défaillance gravissime des systèmes de protection des données informatiques de son ministère, ouvrant la voie à un piratage du fichier national des comptes bancaires (FICOBA). Ainsi, la fuite des données concernant au moins 1,2 million de comptes bancaires met en danger autant de citoyens. L'enquête des agents de la direction générale des finances publiques (DGFiP) indique que ces données ont été consultées et détournées dès la fin du mois de janvier 2026, en utilisant les identifiants de connexion d'un fonctionnaire du ministère. Toute la transparence doit être faite sur cette affaire. Cette attaque rappelle celle conduite contre le ministère de l'intérieur entre le 11 et le 16 décembre 2025. La CNIL indiquait alors que deux fichiers de police avaient été consultés illégalement : le traitement d'antécédents judiciaires (TAI) où figurent 17 millions de personnes - auteurs et victimes de crimes et délits - ainsi que le fichier des personnes recherchées (FPR). Parmi les données détournées se trouvent les coordonnées bancaires (RIB et IBAN), les identités complètes des titulaires de compte (noms, prénoms, dates de naissance, adresses, <em>mails</em>, numéros de téléphone, identifiant fiscal). Ces données peuvent être utilisées ou revendues et les victimes peuvent voir leur identité usurpée. Chaque année, dans le pays, des milliers de personnes sont déjà victimes de ce fléau qui détruit leur vie. Une telle fuite de données par défaillance de l'État ne peut donc qu'accélérer le phénomène. Si les services du ministère banalisent la situation en prétendant qu'aucun fond ne pourra être détourné, les experts contestent formellement cette analyse. Les informations volées suffisent à demander l'exécution de prélèvements pour un donneur d'ordres enregistré comme émetteur auprès d'un prestataire de service de paiements. De plus, le voleur peut produire un mandat de prélèvement frauduleux. Finalement, une souscription de biens ou de services peut être aussi payée par prélèvement, à partir d'un IBAN volé - donc aux frais de la victime. Il lui demande donc si ses services ont identifié les comptes concernés par ce piratage, comment il compte informer les personnes touchées et quelles mesures il mettra en place pour renforcer la sécurité du système d'information (SI) de son ministère."}}, "textesReponse": {"texteReponse": {"infoJO": {"typeJO": "JO_QUESTION", "dateJO": "2026-04-28", "pageJO": "3711", "numJO": "20260017", "urlLegifrance": null, "referenceNOR": null}, "texte": "La Direction Générale des Finances publiques (DGFiP) a communiqué le 18 février 2026 pour informer les usagers d'accès illégitimes au Fichier national des comptes bancaires (FICOBA). A compter de la fin janvier 2026 et jusqu'au vendredi 13 février, un acteur malveillant, qui a usurpé les identifiants d'un fonctionnaire extérieur à la DGFiP et disposant d'accès dans le cadre de l'échange d'information entre ministères, a pu consulter une partie de ce fichier qui recense l'ensemble des comptes bancaires ouverts dans les établissements bancaires français et contient des données à caractère personnel. La violation de données résulte ainsi de l'utilisation du compte d'un agent d'une administration tierce et non pas d'une exploitation de failles de sécurité de l'application. Conformément aux dispositions de l'article 33 du Règlement (UE) 2016/679 (RGPD), la DGFiP a notifié la violation de données liées aux consultations illégitimes des données du FICOBA auprès de la Commission Nationale de l'Informatique et des Libertés. Une première notification a été réalisée dès le 16 février 2026, complétée le 23 février dernier, avec les précisions nécessaires obtenues à l'issue des investigations internes menées sur l'incident. Parallèlement, l'information des usagers a été une priorité de la DGFiP. En complément du communiqué presse sur l'incident, la DGFiP a procédé à l'information individuelle des personnes concernées par la violation, en y intégrant des recommandations et des conseils, par courrier électronique ou à défaut, par courrier postal. Des éléments d'informations ont également été transmis aux établissements bancaires assurant la gestion des comptes compromis afin de leur permettre d'adapter leurs actions auprès de leurs clients et d'assurer une information complète de ces derniers. Dès la détection de cet incident, les accès externes à Ficoba ont été coupés et ils le demeurent jusqu'à sécurisation complète du système d'information concerné. En lien avec l'Agence Nationale pour la Sécurité des Systèmes d'Information (ANSSI), les travaux sont en cours pour améliorer le niveau de sécurité des accès externes de Ficoba. De façon plus générale, l'intensification de la cyber-malveillance conduit en permanence la DGFiP à élever son niveau de sécurisation de ses systèmes d'information et à mettre en place de nouveaux dispositifs de sécurité, par exemple la mise en place en juin 2025 d'un deuxième facteur d'authentification pour la connexion des usagers particuliers à leur espace \"impots.gouv.fr\"."}}, "cloture": {"codeCloture": "REP_PUB", "libelleCloture": "Réponse publiée", "dateCloture": "2026-04-28", "infoJO": {"typeJO": "JO_QUESTION", "dateJO": "2026-04-28", "pageJO": "3711", "numJO": "20260017", "urlLegifrance": null, "referenceNOR": null}}, "signalement": null, "renouvellements": null}}