Actualité

17 mars 2026 · 5 min de lecture · Par DYLETH

Qu'est-ce que le FICOBA et pourquoi c'est sensible

FICOBA (Fichier national des comptes bancaires et assimilés) est un registre géré par la Direction générale des finances publiques (DGFiP). Il recense l'ensemble des comptes bancaires ouverts en France : leur titulaire, leur nature (compte courant, livret d'épargne, compte-titres...) et l'établissement qui les détient.

L'accès à FICOBA est normalement réservé à des entités strictement définies par la loi : fisc, justice, notaires dans le cadre de successions, certains organismes sociaux. C'est précisément parce que ce fichier centralise des informations aussi précises qu'il est une cible de choix pour les cybercriminels.

Pour un fraudeur, connaître l'existence d'un compte bancaire, son titulaire et son établissement permet de construire des arnaques particulièrement ciblées. Une personne appelée par quelqu'un qui connaît le nom de sa banque et le type de compte qu'elle détient aura du mal à ne pas croire à un appel officiel.

Ce que la DGFiP a communiqué

À la suite de l'incident, la DGFiP a précisé plusieurs points importants. L'attaque ne visait pas FICOBA dans son intégralité, mais des systèmes périphériques ou des canaux d'accès. Les autorités ont souligné que le fichier central dispose de protections renforcées, et que l'accès direct aux données consolidées n'avait pas été compromis selon les investigations initiales.

Cependant, même un accès partiel à des données fiscales peut s'avérer extrêmement problématique. Des informations partielles — un nom associé à une banque, un numéro fiscal — suffisent à crédibiliser une tentative de vishing de haute qualité.

Le fisc ne vous appelle jamais pour demander un paiement

La DGFiP communique uniquement par courrier postal pour les demandes de paiement, ou via votre espace personnel sur impots.gouv.fr. Tout appel téléphonique, SMS ou email vous demandant de "régulariser une situation fiscale" en urgence est une tentative de fraude.

La fraude fiscale par usurpation : comment ça fonctionne

Avec des données partielles issues d'une fuite comme celle-ci, les fraudeurs peuvent construire des scénarios très convaincants :

  • "Bonjour, je vous appelle de la Direction générale des finances publiques. Notre système indique que vous avez un compte [type de compte] chez [nom de la banque]. Suite à un contrôle, nous avons détecté une anomalie qui nécessite une régularisation immédiate."
  • La victime, surprise que l'interlocuteur connaisse le nom de sa banque, baisse la garde.
  • Elle est ensuite guidée vers un paiement frauduleux ou vers la divulgation de ses identifiants bancaires.

Ce type d'arnaque — appelé vishing (voice phishing) — est en forte progression en France. La DGCCRF a enregistré une hausse de plus de 40 % des signalements de fraude au faux agent de l'État entre 2022 et 2024.

Les vulnérabilités systémiques des systèmes fiscaux

La cyberattaque contre les systèmes de la DGFiP n'est pas un cas isolé. Les administrations fiscales et financières de nombreux pays ont subi des incidents similaires ces dernières années. Deux facteurs structurels expliquent cette vulnérabilité :

  • La centralisation des données : la logique fiscale nécessite de regrouper des informations sur des millions de contribuables dans des systèmes centraux — ce qui en fait des cibles à très haute valeur
  • La dette technique : beaucoup de systèmes fiscaux fonctionnent sur des infrastructures vieillissantes, difficiles à moderniser sans interruption de service, et dont les failles de sécurité sont plus difficiles à corriger

Se protéger dans ce contexte

Face à une potentielle exposition de données fiscales, les réflexes à adopter :

  • Méfiez-vous de tout contact inattendu se réclamant du fisc, surtout s'il connaît des détails sur votre situation fiscale ou bancaire
  • Vérifiez toute communication en vous connectant directement sur impots.gouv.fr (sans passer par un lien reçu)
  • Ne communiquez jamais d'informations bancaires par téléphone à quelqu'un qui vous appelle — même s'il semble connaître votre dossier
  • Signalez tout appel suspect sur la plateforme cybermalveillance.gouv.fr

DYLETH bloque en temps réel les tentatives de vishing — ces appels frauduleux qui exploitent des données volées pour usurper l'identité d'institutions officielles. Notre bouclier "Vishing" analyse les appels entrants et vous alerte avant que vous ne décrochiez.

Conclusion

Le piratage de systèmes fiscaux est particulièrement préoccupant non pas tant par ce que les attaquants peuvent faire immédiatement, mais par la valeur à long terme des données dérobées. Une donnée fiscale ne se périme pas. Elle peut être exploitée pendant des années. La vigilance n'a pas de date d'expiration.

Passez à l'action

Comprendre est la première étape. Se protéger est la seconde.

DYLETH bloque phishing, smishing et URLs malveillantes en temps réel, gratuitement.

Télécharger DYLETHVoir les 9 modules
Piratage FICOBA : ce que le fisc a révélé sur la cyberattaque | Blog DYLETH | DYLETH