Le 18 février 2026, le ministère de l'Économie a annoncé qu'un acteur malveillant avait accédé au fichier national des comptes bancaires (FICOBA). Les données de 1,2 million de comptes auraient été consultées : coordonnées bancaires, identités et adresses des titulaires. Les soldes et historiques de transactions ne sont pas concernés. Le communiqué officiel de Bercy détaille le périmètre de l'incident.
Cette attaque n'a a priori pas fait suite à l'exploitation d'une vulnérabilité technique. Le vecteur identifié est une usurpation d'identifiants : un compte fonctionnaire légitime, utilisé par un tiers non autorisé pour interroger la base.
Cet article ne revient pas sur la gestion de l'incident par la DGFiP. L'objectif est de poser ce que recouvre techniquement une usurpation d'identifiants, et quelles mesures concrètes permettent de limiter le risque.
Qu'est-ce qu'une usurpation d'identifiants ?
Une usurpation d'identifiants, c'est le fait pour un attaquant d'utiliser une preuve d'authentification légitime pour accéder à un système, sans jamais avoir besoin d'exploiter une faille technique. Cette preuve peut prendre plusieurs formes : un couple identifiant/mot de passe, mais aussi un token de session ou un cookie volé, qui permettent de court-circuiter l'étape de connexion tout en obtenant le même niveau d'accès.
Du point de vue du système cible, la connexion est parfaitement valide. Aucune alerte n'est déclenchée. L'attaquant navigue avec les mêmes droits que le titulaire du compte.
C'est précisément ce qui rend ce vecteur d'attaque difficile à détecter : il n'y a pas d'anomalie technique à identifier, seulement un comportement anormal à repérer.
Comment un attaquant obtient-il ces identifiants ?
Le threat modeling est une démarche structurée : pour un objectif d'attaque donné, on recense méthodiquement les vecteurs qu'un attaquant pourrait exploiter, afin d'en déduire un sous-ensemble de contre-mesures ciblées. C'est un exercice que nous pratiquons lors de nos accompagnements cybersécurité. Appliqué à cet incident, il s'agit d'identifier par quels vecteurs un attaquant aurait pu obtenir des identifiants fonctionnaires valides. Les informations publiques disponibles ne précisent pas comment l'accès a été obtenu. Voici les scénarios les plus courants.
Phishing et ingénierie sociale. La méthode la plus répandue. L'attaquant pousse la victime à communiquer elle-même ses identifiants : via un faux email, une fausse page de connexion, ou une manipulation directe.
Attaque par force brute. L'attaquant essaie méthodiquement des combinaisons d'identifiants jusqu'à trouver la bonne. Une variante courante est le credential stuffing : réutiliser en masse des paires identifiant/mot de passe issues de fuites de données antérieures, en pariant sur le fait que beaucoup d'utilisateurs emploient le même mot de passe sur plusieurs services.
Vol dans une base de données compromise. Lors d'une violation de données chez un tiers (un autre service, un prestataire), des mots de passe peuvent être exfiltrés. Si ces mots de passe ne sont pas correctement chiffrés, ou si l'utilisateur les réutilise ailleurs, l'attaquant peut s'en servir pour accéder à d'autres comptes.
Exploitation d'une faille applicative. Certaines vulnérabilités permettent à un attaquant de voler des preuves d'authentification sans que la victime s'en rende compte : en interceptant un token de session actif, par exemple. Ces techniques supposent une faille dans l'application elle-même.
Comment s'en protéger ?
Ce qui suit est un sous-ensemble de contre-mesures possibles, pas une liste exhaustive. Les mesures pertinentes dépendent entièrement du contexte de l'organisation à protéger.
Contre le phishing et l'ingénierie sociale
Le MFA (authentification multi-facteurs) est la mesure la plus efficace. Le principe : combiner deux preuves d'identité de nature différente, par exemple quelque chose que vous savez (mot de passe) et quelque chose que vous possédez (téléphone). C'est ce que font les applications bancaires quand elles demandent une confirmation sur votre téléphone en plus du mot de passe. Un attaquant qui vole le mot de passe seul ne peut pas aller plus loin.
La formation joue aussi un rôle clé. Le phishing cible souvent les personnes qui ont le plus d'accès et le moins de formation technique. Savoir reconnaître un email frauduleux ou une tentative de manipulation reste l'une des protections les plus simples à mettre en place. C'est l'un des sujets que nous abordons dans nos accompagnements.
Contre la force brute
Le MFA (combiner deux preuves d'identité de nature différente, comme un mot de passe et une confirmation sur téléphone) reste la mesure la plus solide : même si l'attaquant trouve le bon mot de passe, il ne peut pas se connecter sans le second facteur.
Côté détection, un firewall applicatif (WAF) permet d'analyser le trafic entrant et de bloquer automatiquement les comportements suspects, comme un grand nombre de tentatives de connexion en peu de temps. Le verrouillage de compte après un certain nombre d'échecs consécutifs (5 tentatives, par exemple) limite également les attaques automatisées.
etc.
Conclusion
L'incident FICOBA illustre une réalité que nous observons régulièrement : aucune organisation n'est à l'abri, qu'il s'agisse d'un ministère, d'une PME ou d'une TPE. Les menaces évoluent vite, et les vecteurs d'attaque les plus courants ne reposent pas sur des failles techniques sophistiquées. Ils exploitent des mots de passe réutilisés, des utilisateurs non formés, ou des systèmes sans second facteur d'authentification.
Il existe des méthodes et des experts pour anticiper ces risques. L'objectif n'est pas d'atteindre une sécurité parfaite, mais de rendre l'attaque plus difficile, de détecter les comportements anormaux plus tôt, et de limiter l'impact si un incident se produit malgré tout. Si vous souhaitez faire ce travail pour votre organisation, nous pouvons vous accompagner.