Piratage et fuite FICOBA : pourquoi une explosion du phishing est à prévoir dans les prochaines semaines

Ce qui s’est passé : accès illégitimes au fichier national des comptes bancaires (FICOBA)

La DGFiP a confirmé des accès illégitimes au FICOBA (fichier national des comptes bancaires). À partir de fin janvier 2026, un acteur malveillant a usurpé les identifiants d’un fonctionnaire habilité et a pu consulter une partie du fichier. Les données concernées incluent : RIB/IBAN, identité du titulaire, adresse, et dans certains cas l’identifiant fiscal. Le périmètre communiqué à ce stade est d’environ 1,2 million de comptes. L’incident a été signalé à la CNIL, traité avec l’ANSSI, et une plainte a été déposée.

Point important : les autorités rappellent que ces données ne donnent pas accès aux soldes et ne permettent pas “à elles seules” d’opérer sur le compte comme un virement classique — mais elles constituent un kit d’ingénierie sociale très puissant.

📄Communiqué de presse – Bureau de presse de Bercy – 18 février 2026 – N°401 – PDF

Les menaces concrètes qui vont mécaniquement augmenter

1) Tentatives de prélèvements SEPA frauduleux

Avec un IBAN, un fraudeur peut tenter de monter un dossier de prélèvement (souvent via faux mandats), ou souscrire à des services payés par prélèvement. Les banques et médias rappellent que le bon réflexe est de surveiller les mouvements et contester immédiatement toute opération suspecte.

2) Usurpation d’identité “administrative”

Le trio nom + adresse + IBAN suffit pour des démarches frauduleuses (création de comptes, achats, ouvertures de services, dossiers falsifiés). Les autorités alertent explicitement sur les tentatives d’escroqueries qui circulent par email et SMS après ce type d’incident.

3) Fraudes multicanales : SMS, appels, faux conseillers bancaires

La mécanique classique : un attaquant vous contacte en se présentant comme banque / DGFiP / “service antifraude”, cite des informations vraies (nom, adresse, IBAN) pour gagner votre confiance, puis pousse à une action “urgente” (valider une opération, installer un outil, transmettre un code, cliquer sur un lien). Plusieurs analyses insistent sur le risque d’arnaques au faux conseiller bancaire et de phishing ciblé après cette fuite.

Une vague de phishing est inévitable : préparez-vous maintenant

Le phishing efficace repose sur un principe simple : rendre le mensonge plausible. Ici, les fraudeurs disposent d’éléments très “réalistes” (identité, adresse, IBAN, parfois identifiant fiscal). Résultat : les campagnes vont être beaucoup plus personnalisées et donc plus convaincantes.

À noter : le communiqué officiel ne liste pas l’adresse email comme donnée FICOBA exposée. En revanche, dans la pratique, les attaquants n’ont aucun mal à recouper ces informations avec des adresses email déjà disponibles via d’autres fuites et bases OSINT. Autrement dit : même sans “email dans FICOBA”, la cible recevra quand même des messages hyper contextualisés.

Les scénarios de phishing les plus probables

1) “Alerte DGFiP / impôts” (email ou SMS)

• Objet : remboursement, régularisation, dossier fiscal, “incident de sécurité”
• Appât : demande de “vérification” / “mise à jour” / “validation”
• But réel : voler identifiants, détourner paiement, installer un malware
  La DGFiP rappelle explicitement qu’elle ne demande jamais vos identifiants ni votre numéro de carte bancaire par message, et recommande de passer uniquement par les canaux officiels en cas de doute.

2) “Votre banque a détecté un prélèvement suspect”

• L’attaquant cite votre nom + parfois votre banque + une partie d’info réelle
• Il pousse vers un “centre antifraude” (faux site / faux conseiller)
• Objectif : récupérer codes 2FA, informations carte, ou faire valider une opération

3) “Mandat SEPA / abonnement” (faux document)

• Email avec PJ “mandat”, “facture”, “avis de prélèvement”
• Objectif : vous faire ouvrir une pièce jointe piégée, ou payer un “faux rejet”

4) “Changement de RIB / mise à jour fournisseur”

• Variante B2B : l’attaquant se fait passer pour un fournisseur/partenaire
• Objectif : détourner de vrais paiements (fraude au changement d’IBAN)

Les signaux faibles à marteler (ceux qui font la différence)

• Urgence + menace (“compte bloqué”, “poursuites”, “dernière relance”)
• Lien vers une page de “connexion” ou “paiement”
• Demande de code (SMS/Authenticator) ou d’informations sensibles
• Adresse d’expéditeur qui “ressemble” mais n’est pas le domaine officiel
• Pièce jointe inattendue (PDF/HTML/ZIP/Word)

Mesures immédiates à recommander

Pour les particuliers

• Surveiller les comptes : prélèvements et nouveaux créanciers.
• Ne jamais cliquer sur un lien reçu : aller manuellement sur le site officiel / appli bancaire.
• En cas de doute : conserver les preuves et s’appuyer sur les ressources publiques recommandées (DGFiP/cybermalveillance).

Pour les entreprises / collectivités

• Alerter les utilisateurs : “vague de phishing en cours” (email + SMS + téléphone).
• Renforcer la messagerie : filtrage, blocage de lookalikes, durcissement des pièces jointes, DMARC.
• Procédure anti-fraude : double validation sur changements d’IBAN / paiements.

Comment MailSecure réduit l’impact : bloquer la vague avant qu’elle n’arrive en boîte mail

MailSecure opère en tant que Secure Email Gateway positionnée en amont de l’infrastructure de messagerie (Microsoft 365, Google Workspace, serveurs on-premise ou hébergés).

Concrètement, l’analyse et le filtrage des flux SMTP sont réalisés avant la remise des messages aux boîtes utilisateurs. Cette approche préventive permet d’intercepter les campagnes de phishing, d’usurpation et les tentatives d’ingénierie sociale au niveau du périmètre réseau, plutôt que de laisser les emails malveillants atteindre l’environnement collaboratif.

1) Détection des campagnes de phishing (pattern + réputation + contenu)

Après une fuite, les attaques arrivent en rafales (mêmes scénarios, variantes d’objets, domaines jetables, infrastructures recyclées). MailSecure combine :

• analyse de réputation,
• détection d’anomalies et de patterns,
• moteurs de filtrage avancés basés sur l’IA,
• politiques de quarantaine et de blocage.

2) Protection contre l’usurpation et les domaines ressemblants

Les attaques “DGFiP/banque” reposent souvent sur des domaines proches (typosquatting). MailSecure permet de durcir :

• domaines/destinations autorisés,
• règles anti-usurpation,
• contrôles SPF/DKIM/DMARC (et politiques associées).

3) Focus : la RBL propriétaire MailSecure

MailSecure s’appuie sur sa propre RBL pour accélérer le blocage des sources récurrentes (IP/plages) observées dans des campagnes actives. Concrètement : quand une infrastructure sert à diffuser du phishing à grande échelle, la réaction est plus rapide et plus homogène sur les organisations protégées.

Conclusion

Cette fuite FICOBA va surtout provoquer une chose : une montée du phishing ciblé, beaucoup plus crédible car alimenté par des données réelles (identité/adresse/IBAN). La bonne réponse, c’est d’arrêter de traiter ça comme “un problème utilisateur” : il faut bloquer en amont, industrialiser la détection, et réduire la surface d’attaque.