Une faille de sécurité majeure au cœur de l'administration fiscale
Mercredi, le ministère de l'Économie et des Finances a fait une révélation alarmante : la direction générale des finances publiques (DGFiP) a subi une cyberattaque de grande ampleur fin janvier. Cette intrusion a permis à des pirates de dérober le fichier Ficoba, une base de données extrêmement sensible qui répertorie l'ensemble des comptes bancaires ouverts en France, tant pour les particuliers que pour les entreprises.
Un trésor d'informations personnelles désormais dans la nature
Les données de plus de 1,2 million de comptes bancaires se trouvent désormais exposées, avec la forte probabilité qu'elles apparaissent prochainement sur le darknet. La DGFiP a assuré que les propriétaires de ces comptes seraient prévenus « par mail lundi au plus tard », mais les conséquences de cette fuite pourraient s'étendre sur plusieurs mois, voire années.
Le Ficoba représente une véritable mine d'or pour les escrocs. Cette base exhaustive recense tous les types de comptes : comptes courants, comptes d'épargne, comptes-titres, et même les coffres-forts loués auprès des établissements bancaires. Sa particularité réside dans sa précision et son actualisation permanente, car elle est alimentée directement par les banques elles-mêmes.
Une base de données d'une richesse exceptionnelle
Selon la Commission nationale de l'informatique et des libertés (Cnil), le Ficoba liste les déclarations d'ouverture, de fermeture et de modification de comptes. La DGFiP précise à 20 Minutes que cette base représente une liste de « plus de 300 millions de comptes ».
Pour chaque compte répertorié, on trouve une multitude d'informations sensibles :
- Le nom et l'adresse de l'établissement bancaire gestionnaire
- Le numéro, la nature et les caractéristiques du compte
- La date et la nature de l'opération déclarée
- Le nom, prénom, date et lieu de naissance du titulaire
- L'adresse complète du détenteur du compte
- Pour les professionnels, le numéro Siret et la forme juridique
Des utilisations légitimes... et des risques considérables
Ce fichier sert normalement à de multiples administrations : services fiscaux pour détecter les fraudes, douanes, administrations financières, Sécurité sociale, banques, forces de l'ordre, huissiers et notaires. Il est également accessible à titre personnel dans des conditions strictes, par exemple pour vérifier si un escroc a ouvert un compte à son nom.
Mais entre de mauvaises mains, ces informations deviennent extrêmement dangereuses. Régis Dos Santos, ancien président du syndicat national de la banque (SNB), explique : « Avec ces données, des escrocs pourraient générer des prélèvements Sepa, souscrire des abonnements, ouvrir des lignes de téléphone ou obtenir des crédits à la consommation ».
Le vishing : la menace principale
Pour ce spécialiste du secteur bancaire, le risque le plus immédiat n'est pas le siphonnage direct des comptes, mais plutôt l'arnaque au faux conseiller bancaire, ou vishing. « Les escrocs peuvent utiliser cette fuite de données pour convaincre leurs cibles. La précision des informations du Ficoba peut aider le faux conseiller à endormir la méfiance des personnes les plus aguerries et obtenir l'accès à l'application bancaire », estime-t-il.
Une vigilance accrue nécessaire
Le mal est désormais fait, et les victimes de ce vol de données ne peuvent qu'adopter une attitude de prudence maximale. Régis Dos Santos insiste sur les conseils de base : « Toujours rappeler son vrai conseiller, ne jamais donner de codes d'accès et vérifier régulièrement ses comptes pour détecter d'éventuels prélèvements frauduleux ».
Cette cyberattaque contre la DGFiP soulève des questions cruciales sur la sécurité des données sensibles détenues par l'État et sur la capacité des administrations à protéger les informations personnelles des citoyens contre des menaces de plus en plus sophistiquées.
