En l’espace de quelques semaines, deux systèmes informatiques de l’État français ont été victimes d’accès illégitimes : le fichier FICOBA, recensant l’intégralité des comptes bancaires ouverts en France, et la plateforme « Choisir le Service Public », portail officiel de recrutement de la fonction publique. Au total, ce sont potentiellement plus d’1,5 million de personnes dont les données personnelles ont été exposées. Ces incidents posent des questions légitimes sur le niveau réel de protection des systèmes informatiques de l’État et appellent chaque citoyen à une vigilance accrue.
Le fichier national des comptes bancaires et assimilés, dit FICOBA, est l’un des registres les plus sensibles que gère l’administration française. Tenu par la Direction Générale des Finances publiques (DGFiP), il recense l’ensemble des comptes bancaires ouverts dans les établissements financiers du pays. Y figurent les coordonnées bancaires complètes (RIB, IBAN), l’identité du titulaire du compte, son adresse postale et, dans de nombreux cas, son identifiant fiscal.
C’est précisément ce fichier qu’un acteur malveillant a réussi à consulter fin janvier 2026. La méthode employée est connue sous le nom d’usurpation d’identifiants : le ou les pirates ont utilisé les codes d’accès d’un fonctionnaire légitime, disposant de droits de consultation dans le cadre des échanges d’informations entre ministères, pour se connecter au système et parcourir une partie de la base de données. Selon les premières estimations de la DGFiP, les données de 1,2 million de comptes bancaires auraient pu être consultées ou extraites.
Une détection tardive qui soulève des interrogations
La DGFiP affirme avoir détecté l’incident et mis en place des mesures de restriction d’accès « dès la détection ». Ces mesures auraient permis de stopper l’attaque et de limiter l’ampleur des données exfiltrées. Les autorités compétentes (le service du Haut Fonctionnaire de Défense et de Sécurité) du ministère des Finances et l’ANSSI ont été mobilisées. La CNIL a été notifiée et une plainte pénale déposée.
Ces réactions sont conformes aux procédures en vigueur. Mais elles ne répondent pas aux questions essentielles que tout observateur est en droit de poser. Combien de temps l’accès illégitime a-t-il duré avant d’être détecté ? Comment des identifiants de fonctionnaire ont-ils pu être compromis sans que le système déclenche une alerte ? Existait-il un mécanisme de détection des comportements anormaux (comme des consultations massives ou atypiques) sur un fichier aussi stratégique que FICOBA ? Ces informations n’ont pas été communiquées publiquement, ce qui laisse planer un doute légitime sur la robustesse réelle des systèmes de surveillance mis en place.
« Choisir le Service Public » : 377 000 candidats dans la nature
Quelques semaines seulement après l’incident FICOBA, c’est une autre plateforme de l’État qui se retrouve au cœur d’une fuite de données. « Choisir le Service Public » est le portail officiel par lequel des centaines de milliers de Français candidatent à des postes dans la fonction publique. Selon nos informations, plus de 377 000 candidats inscrits sur la plateforme seraient concernés par cet incident de sécurité.
Les données exposées comprennent des informations particulièrement précises et exploitables : identité complète, coordonnées personnelles, parcours académique, domaines de compétence et postes visés. Contrairement à une simple adresse e-mail ou à un mot de passe, ce type d’information permet de dresser un profil détaillé de chaque victime. Ce qui en fait une matière première de choix pour des attaques ciblées et sophistiquées.
Des risques qui vont bien au-delà de l’arnaque classique
Les cybercriminels opportunistes ne seront pas les seuls à tirer parti de ces données. Benoît Grunemwald, expert en cybersécurité chez ESET France, alerte sur des menaces d’une autre envergure. Pour les candidats ordinaires, le risque immédiat est celui du phishing personnalisé : des messages frauduleux usurpant l’identité de recruteurs ou d’administrations, intégrant des détails précis tirés du profil de la victime pour paraître d’autant plus crédibles. S’y ajoutent des arnaques à la fausse formation, où l’escroc conditionne une prétendue offre d’embauche au paiement de frais fictifs ou à l’achat de modules de certification en ligne.
Mais pour les profils issus de secteurs sensibles (défense, aéronautique, numérique critique, renseignement) la menace est d’une toute autre nature. Des groupes cybercriminels liés à des États étrangers, comme le groupe nord-coréen Lazarus, sont connus pour exploiter ce type de fuite dans le cadre d’opérations d’espionnage ciblées. Leur mode opératoire : construire de fausses offres d’emploi prestigieuses, parfaitement adaptées au profil de la cible, et y glisser des documents piégés (fiches de poste, tests techniques, etc.) qui, une fois ouverts, installent silencieusement un logiciel malveillant sur le poste de travail de la victime. L’objectif final : exfiltrer des données industrielles ou stratégiques, voire accéder à des réseaux sensibles.
À retenir : une fuite de données sur une plateforme de recrutement public n’est pas un incident anodin. Pour certains profils, elle peut devenir le point d’entrée d’une opération d’espionnage industriel ou étatique aux conséquences durables.
L’État peut-il vraiment protéger les données qu’il collecte ?
Ces deux incidents successifs posent une question de fond : l’État français dispose-t-il des moyens, des procédures et de la culture de sécurité nécessaires pour protéger les données massives qu’il collecte sur ses citoyens ?
Dans le cas de FICOBA, le vecteur d’attaque était l’usurpation d’identifiants d’un agent autorisé. Cela suggère l’absence ou l’insuffisance de mécanismes d’authentification renforcée (comme l’authentification multifacteur) sur l’accès à un fichier pourtant classé parmi les plus sensibles de l’administration. Dans le cas de la plateforme de recrutement, on ignore encore les détails techniques de la compromission, ce qui en dit long sur la transparence lacunaire dont font preuve les administrations concernées face à leurs usagers.
Si la mobilisation de l’ANSSI et du HFDS rassure sur la capacité de réaction après coup, elle ne suffit pas à dissiper les doutes sur la prévention. La sécurité informatique des systèmes d’État doit être proactive, pas seulement réactive. Or, deux incidents majeurs en quelques semaines indiquent que quelque chose, dans la chaîne de protection, a failli.
Ce que vous devez faire maintenant
Si vous êtes titulaire d’un compte bancaire en France, vous faites potentiellement partie des 1,2 million de personnes concernées par l’incident FICOBA. La DGFiP a annoncé l’envoi d’une notification individuelle aux personnes dont les données ont été consultées. Lisez attentivement ce message si vous le recevez, sans cliquer sur aucun lien qu’il contiendrait, et rapprochez-vous directement de votre service des impôts via la messagerie sécurisée de votre espace personnel sur impots.gouv.fr pour vérifier les informations.
Si vous avez candidaté à un emploi dans la fonction publique via « Choisir le Service Public », considérez que votre profil complet est potentiellement entre les mains de tiers malveillants. Soyez particulièrement méfiant face à toute prise de contact inattendue de recruteurs, même si le message semble parfaitement adapté à votre profil et à vos aspirations professionnelles. N’ouvrez jamais un document joint provenant d’un interlocuteur non vérifié, même s’il se présente comme une fiche de poste ou un test de recrutement.
Dans les deux cas, plusieurs réflexes s’imposent :
- Activez l’authentification multifacteur sur l’ensemble de vos comptes sensibles (messagerie, espace fiscal, banque en ligne, réseaux sociaux professionnels).
- Utilisez un gestionnaire de mots de passe pour éviter la réutilisation des mêmes codes d’accès sur plusieurs services.
- Signalez toute tentative d’escroquerie ou d’hameçonnage sur la plateforme cybermalveillance.gouv.fr, qui met à disposition des ressources et un diagnostic personnalisé.
- Et conservez systématiquement toutes les preuves en cas de fraude : captures d’écran, messages reçus, adresses URL suspectes.
La confiance numérique se construit dans les actes
Ces incidents rappellent une vérité inconfortable : la confiance numérique n’est pas un acquis. Elle se construit jour après jour, par des investissements réels dans la sécurité des systèmes, par la transparence avec les citoyens en cas d’incident, et par des mesures préventives robustes. L’annonce de plaintes déposées et d’enquêtes en cours est nécessaire, mais insuffisante. Ce que les citoyens sont en droit d’attendre de l’État, c’est qu’il leur explique clairement ce qui a failli, ce qui a été corrigé et comment il garantira que cela ne se reproduira pas.
En attendant ces réponses, la vigilance reste votre meilleure ligne de défense.
