Le fichier national des comptes bancaires "FICOBA", géré par la Direction Générale des Finances publiques (DGFiP), a été piraté entre le 28 janvier 2026 et le 13 février 2026.

Environ 1,2 millions de comptes ont été accédés : les informations "[de votre] état-civil, de votre adresse postale et de vos coordonnées bancaires", d'après le ministère.

Ça a fait les manchettes, mais j'aimerais revenir sur ce qui c'est passé, car il y a de nombreux points intéressants dans la communication officielle. Notamment dans leur FAQ.

Les identifiants d'un fonctionnaire

Voilà le point d'entrée : les identifiants d'un fonctionnaire ont été "usurpés".
On peut légitimement se demander si il y avait un 2FA, une authentification à deux-facteurs dont TOTP2 ou FIDO2, ou même multifactorielle.

À ce niveau de sensibilité, de risque et d'impact, le minimum en sus d'un mot-de-passe fort c'est une clé physique FIDO2 et si possible une clé physique FIDO2 avec biométrie (capteur d'empreinte) inutilisable même si volée.

Ce que l'on sait : son mot-de-passe fort (souvent noté sur un post-it !)
Ce que l'on a : la clé physique FIDO2 unique
Ce que l'on est : son empreinte physique sur la clé pour l'activer

Un fonctionnaire et des usages très particuliers

Ce fonctionnaire avait des accès "dans le cadre de l’échange d’information entre ministères".
Cela signifie qu'il n'avait pas un usage encadré de la même manière que pour les consultations usuelle du fichier FICOBA, donc probablement pas les mêmes règles de sécurité et restrictions autour de son usage.

On peut tout de suite comprendre, via "dans le cadre de l’échange d’information entre ministères" et un usage qui est inhabituel, qu'il y à là, comme dans de nombreuses interconnexions de bases-de-données ou fichiers, une faille potentielle.

Ça renforce le point précédent, sur un usager qui est exceptionnel dans ses usages donc ses droits et les règles de sécurité qui s'appliquent : clé FIDO2 avec sécurité biométrique en sus du mot-de-passe fort.

Priorité à la sécurité des données et donc celle des Français

Priorité à la sécurisation des données, quitte à affecter les opérations, et c'est exactement ce qu'il faut faire dans un tel cas. Mettre fin à l'hémorragie ! Couper court !

Un DSO Officier de Sécurité des Données doit négocier cette autorité, et qu'elle soit connue de tous en interne mais aussi coté clients, fournisseurs et partenaires pour éviter tout "malentendu".
Le DSO a pleine autorité sur les données dont leur sécurité. Personne d'autre.

Prendre les bonnes décisions, le plus tôt possible. Excellent !

Communication

La Direction Générale des Finances publiques (DGFiP) va communiquer directement auprès de chaque Français touché.
C'est là aussi excellent, pour la communication, mais aussi car ça démontre un bon niveau de Log le permettant.

"La DGFiP a pour obligation d'informer dès qu'une consultation semble frauduleuse, conformément à l'article 34 du règlement général sur la protection des données (RGPD)."
Excellent là aussi, indiquer clairement le cadre légal et le respecter.

En conclusion

J'aime beaucoup la façon dont la DGFiP a réagit.
Pas de déclarations à l'emporte-pièce qui se révèlent fausses deux jours plus tard, pas de bruit, juste un audit interne basé sur des logs et donc une information concise, précise et correcte.

Arrêter l'hémorragie quitte à impacter ou bloquer les opérations : parfait, la sécurité avant tout !

Et une bonne communication individuelle auprès des Français touchés. Parfait aussi !

Les problèmes identifiés

Maintenant, il y a le problème des identifiants, qui laisse à penser que le niveau de sécurité n'est pas assez élevé pour cet utilisateur et ses usages. Probablement le même niveau pour tous...
Droits plus élevés, authentification plus stricte. Bien sûr rien n'est parfait !

Pas de suivi quotidien de cet utilisateur ayant des droits très différents, et une alerte après 1,2 millions de comptes accédés sur deux semaines. 1,2 millions de comptes ! Deux semaines !
Droits plus élevés, surveillance rapprochée.

Et le problème d'interconnexions de bases-de-données ou de fichiers, qui revient régulièrement parmi les facteurs ayant permis une attaque réussie. Un facteur souvent décisif.

On voudrait nous proposer ou imposer un "ID numérique" avec une tonne d'interconnexion de bases-de-données ou fichiers divers et variés, plus sensibles les uns que les autres ?!?