La DGFiP a été piratée : 1,2 million de RIB et d'IBAN ont été dérobés

La DGFiP a été piratée : 1,2 million de RIB et d'IBAN ont été dérobés
Maurine Briantais

Alors là, c'est du jamais vu ! Un pirate a pu accéder au fichier national des comptes bancaires (FICOBA), qui recense tous les comptes ouverts en France. Une opération inédite qui lui a permis de voler 1,2 million d'IBAN et de RIB.

Décidément, les organismes publics français sont attaqués de toutes parts en ce moment ! Après le ministère de l'Intérieur, l'URSSAF et la plateforme de recrutement "Choisir le service public", c'est au tour de la Direction générale des finances publiques (DGFiP) d'être prise pour cible !

Dans un communiqué de presse, le ministère de l'Économie révèle que le fichier national des comptes bancaires, plus connu sous le nom de FICOBA, a subi une fuite de données historique. Pour rappel, ce registre administratif centralise toutes les informations sur les comptes bancaires ouverts dans les établissements financiers français. Il contient notamment, pour chaque compte, l'identité du titulaire, son adresse postale et ses références bancaires, avec le RIB (Relevé d'Identifiant Bancaire) et l'IBAN (International Bank Account Number), ainsi que, dans certains cas, des identifiants fiscaux. En revanche, il ne contient pas les soldes bancaires et ne permet aucune opération sur les comptes.

Ce fichier est normalement strictement protégé et réservé à un usage administratif légal, par exemple pour des contrôles fiscaux ou des procédures judiciaires, et seuls des agents habilités peuvent y accéder dans le cadre de leurs missions. Or, un acteur malveillant est parvenu à consulter ces informations relatives aux comptes bancaires français. Au total, ce sont pas moins de 1,2 million de comptes qui ont été touchés.

Piratage DGFiP : une négligence qui coûte cher

L'attaquant s'est servi des identifiants d'un fonctionnaire qui disposait d'un accès autorisé pour consulter le FICOBA dans le cadre d'échanges inter-ministériels. Grâce à ces informations d'accès, il a pu se connecter à la base sans déclencher immédiatement d'alertes. Et comme le ministère de l'Économie n'avait pas mis en place d'authentification à deux facteurs, il n'a rencontré aucune difficulté.

"La compromission touchant le fichier FICOBA ne révèle pas une fragilité des infrastructures techniques face aux accès non autorisés, elle prouve que pour accéder aux données sensibles, il n'est pas utile de s'attaquer de front aux serveurs", note Benoit Grunemwald, expert en Cybersécurité chez ESET. Elle prouve au contraire que "l'ingénierie sociale et l'exploitation de mesures insuffisantes rendent possible l'accès à des données sensibles".

Dès la détection de l'intrusion, les équipes informatiques de la DGFiP ont restreint l'accès au système afin de limiter le dommage et empêcher toute nouvelle consultation illégitime. La Commission nationale de l'informatique et des libertés (CNIL) a également été notifiée, comme il est de coutume dans cette situation, et une plainte a été déposée auprès des autorités.

Les services de l'État collaborent avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI) pour analyser l'incident, renforcer la sécurité du système et comprendre comment le piratage a pu se produire. Par ailleurs, les personnes concernées par cette fuite seront contactées dans les prochains jours. Enfin, Bercy est entré en contact avec les banques afin de prévenir et de mettre en garde les clients. 

Piratage DGFiP : quels risques lorsque l'IBAN est dérobé ?

La Fédération bancaire française (FBF) recommande aux victimes de redoubler de prudence, de surveiller attentivement leur compte bancaire et de bien passer en revue l'ensemble des transactions qui y figurent, étant donné que le pirate a eu accès aux IBAN des clients. Car si l'IBAN seul ne permet pas de vider un compte, il peut, couplé à d'autres informations sensibles, permettre de réaliser des mandats SEPA. Et là, c'est une autre histoire !

En effet, l'IBAN est indispensable pour réaliser des virements bancaires – notamment pour le versement des salaires – mais aussi pour activer des prélèvements automatiques. Et ce sont ces prélèvements SEPA qui servent à régler de nombreuses dépenses courantes : factures d'électricité, de gaz ou d'eau, abonnements téléphoniques et Internet, plateformes de streaming, ou encore cotisations d'assurance et impôts. Or, leur mise en place ne s'accompagne pas toujours de contrôles d'identité stricts. Un cybercriminel qui dispose d'un IBAN associé à des données personnelles peut ainsi débiter un compte avec une relative facilité.

Aussi, les victimes sont invitées à vérifier et à mettre à jour régulièrement dans leur espace de banque en ligne la liste des créanciers autorisés ou interdits, à surveiller attentivement les opérations par prélèvement débité sur leur compte et, en cas de fraude, à contester sans délai l'opération de prélèvement. Il faut également garder en tête que l'administration fiscale ne demandera jamais les identifiants ou les numéros de carte bancaire par message, même si l'expéditeur semble être la DGFiP.