Fichier national des comptes bancaires FICOBA des impôts piratés : mon point de vue de spécialiste de la sécurité, Réactions à la publication du 25/02/2026

[Paul Emploi]

Environ 1,2 millions de comptes ont été accédés : les informations "[de votre] état-civil, de votre adresse postale et de vos coordonnées bancaires", d'après le ministère.


Ça a fait les manchettes, mais j'aimerais revenir sur ce qui c'est passé, car il y a de nombreux points intéressants dans la communication officielle. Notamment dans leur FAQ.

Les identifiants d'un fonctionnaire

Voilà le point d'entrée : les identifiants d'un fonctionnaire ont été "usurpés".
On peut légitimement se demander s'il y avait un 2FA, une authentification à deux facteurs, dont TOTP2 ou FIDO2, ou même multifactorielle.


À ce niveau de sensibilité, de risque et d'impact, le minimum en sus d'un mot de passe fort c'est une clé physique FIDO2 et si possible une clé physique FIDO2 avec biométrie (capteur d'empreinte) inutilisable même si volée.

Ce que l'on sait : son mot de passe fort (souvent noté sur un post-it !)
Ce que l'on a : la clé physique FIDO2 unique
Ce que l'on est : son empreinte physique sur la clé pour l'activer

Un fonctionnaire et des usages très particuliers

Ce fonctionnaire avait des accès "dans le cadre de l’échange d’information entre ministères".
Cela signifie qu'il n'avait pas un usage encadré de la même manière que pour les consultations usuelle du fichier FICOBA, donc probablement pas les mêmes règles de sécurité et restrictions autour de son usage.

On peut tout de suite comprendre, via "dans le cadre de l’échange d’information entre ministères" et un usage qui est inhabituel, qu'il y a là, comme dans de nombreuses interconnexions de bases de données ou fichiers, une faille potentielle.

Ça renforce le point précédent, sur un usager qui est exceptionnel dans ses usages donc ses droits et les règles de sécurité qui s'appliquent : clé FIDO2 avec sécurité biométrique en sus du mot de passe fort.

Priorité à la sécurité des données et donc celle des Français

Priorité à la sécurisation des données, quitte à affecter les opérations, et c'est exactement ce qu'il faut faire dans un tel cas. Mettre fin à l'hémorragie ! Couper court !

Un DSO, Officier de Sécurité des Données, doit négocier cette autorité, et qu'elle soit connue de tous en interne mais aussi côté clients, fournisseurs et partenaires pour éviter tout "malentendu".
Le DSO a pleine autorité sur les données dont leur sécurité. Personne d'autre.

Prendre les bonnes décisions, le plus tôt possible. Excellent !

Communication

La Direction Générale des Finances publiques (DGFiP) va communiquer directement auprès de chaque Français touché.
C'est là aussi excellent, pour la communication, mais aussi car ça démontre un bon niveau de Log le permettant.

"La DGFiP a pour obligation d'informer dès qu'une consultation semble frauduleuse, conformément à l'article 34 du règlement général sur la protection des données (RGPD)."
Excellent là aussi, indiquer clairement le cadre légal et le respecter.

En conclusion

J'aime beaucoup la façon dont la DGFiP a réagit.
Pas de déclarations à l'emporte-pièce qui se révèlent fausses deux jours plus tard, pas de bruit, juste un audit interne basé sur des logs et donc une information concise, précise et correcte.

Arrêter l'hémorragie quitte à impacter ou bloquer les opérations : parfait, la sécurité avant tout !

Et une bonne communication individuelle auprès des Français touchés. Parfait aussi !

Les problèmes identifiés

Maintenant, il y a le problème des identifiants, qui laisse à penser que le niveau de sécurité n'est pas assez élevé pour cet utilisateur et ses usages. Probablement le même niveau pour tous...
Droits plus élevés, authentification plus stricte. Bien sûr rien n'est parfait !

Pas de suivi quotidien de cet utilisateur ayant des droits très différents, et une alerte après 1,2 millions de comptes accédés sur deux semaines. 1,2 millions de comptes ! Deux semaines !
Droits plus élevés, surveillance rapprochée.

Et le problème d'interconnexions de bases de données ou de fichiers, qui revient régulièrement parmi les facteurs ayant permis une attaque réussie. Un facteur souvent décisif.

On voudrait nous proposer ou imposer un "ID numérique" avec une tonne d'interconnexion de bases de données ou fichiers divers et variés, plus sensibles les uns que les autres ?!?

Lien vers le billet original

[JPRW]

Ca continue avec la DGFiP ...

Depuis hier soir ou ce matin le site impots.gouv est inaccessible que soit en ligne ou avec l'app .

En ligne on a "504 gateway time-out " et l' app indique que le site ne répond pas . Joint au téléphone , l' intervenant ne paraissait pas au courant et a découvert en direct le pb ; réponse : il doit y avoir un pb en cours de résolution , il faut attendre .....

Correction du site avec l' arrêt des opérations évoqué ?
Attaque DDOS ?
Mise hors ligne de protection / tentative d'intrusion ?

Le jour où ce sera hacké ( yaka attendre ! ) , tout le monde risque d'être dans la panade selon les données volées et leur visibilité en clair .
C'est une des modalités identifiantes de France Connect .

Ce message a été modifié par JPRW - 25 Feb 2026, 15:13.

[Paul Emploi]

...
C'est une des modalités identifiantes de France Connect .

Excellent point !

Je ne suis pas familiarisé avec France Contact Connect ...

[Patounet1]

Bonjour,
Je n'ai pas bien compris, mais probablement parce que je ne suis pas "spécialiste de la sécurité".
Par contre je n'ai pas connaissance de sanctions prises pour les défaillances qui sont à l'origine des piratages.

Le problème est là.

Tant que des sanctions exemplaires ne seront pas appliquées sur les responsables de haut rang, je dirais le responsable informatique de Bercy, voire le plus haut fonctionnaire du ministère des finances, (c'est pareil pour les entreprises, le responsable du système informatique, voire le DG) rien ne sera fait pour protéger nos données personnelles. Mettre des amandes, surtout à des administrations, n'a pas de sens, ce sont les contribuables, donc les victimes, qui devront les payer.

[Paul Emploi]

S'attaquer à qui, et pour quelle raison légale ?!?

Je pense que cette administration a respecté les fameuses "règles de l'industrie", sauf que ces règles sont une vaste blague.
Pas qu'elles soient inutiles, mais car elles sont insuffisantes en général et surtout ne couvrent pas les cas particuliers ...

[loucheux]

...
C'est une des modalités identifiantes de France Connect .

Excellent point !

Je ne suis pas familiarisé avec France Contact ...

Oui c'est clairement un pb, surtout que la sécurité France Connect est vraiment faible (login = numéro SIP que l'on doit pouvoir trouver et mot de passe), pas de double authentification.
Je rappelle que France Connect permet d'accèder à l'ANTS et à beaucoup de services.
A minima ils devraient revoir leurs process
La connexion avec la carte d'identité est beaucoup plus sécurisée (il faut lire sa CNI avec son tel)

Ce message a été modifié par loucheux - 25 Feb 2026, 15:45.

[JPRW]

Pour accéder à son espace Impots.gouv , il me semble qu'il y a une double authentification depuis quelques mois .

Par contre en utilisant son identification des impots sur France Connect , je ne sais pas si elle est mise en place . Avec France Connect , j'utilise l'Identité Numérique ou France Identité que j'ai du activés car utilisé par certains sites institutionnels pour valider des opérations ( par exemple sur INPI pour supprimer un compte professionnel avec SIRET ou avec ANTS pour les passeports ) ..

[MixUnix]

Tant qu'on n'appliquera pas des sanctions exemplaires. adaptées. dans la hiérarchie de l'administration. pour fautes graves. et manquements à la déontologie. il ne se passera rien. et les choses continueront avec "le pas de vagues"

Ce message a été modifié par MixUnix - 25 Feb 2026, 17:12.

[Alex5555]

Pour ma part gros fan de France Identité qui est à la fois pratique, facile d’usage et à deux facteurs.

J’ai délaissé France Connect (qui est ni plus ni moins que son arrière grand père) et qui finalement reposait souvent dans mon cas sur un mdp sauvegardé dans un navigateur.
Après j’attends qu’on me pirate mon compte des impôts pour les payer à ma place… ah non, j’ai mal compris ? ;-)

[STRyk]

Pffffff c'est geré par des gens qui s'en foutent royalement de tout.
Ils pompent leur fric, le reste ils s'en foutent !
D'ailleurs la majorité des gus ne comprennent absolument RIEN à tout ca !
A coté de ça, on va te demander de tout "dématérialiser", donnant ainsi toute ta vie à des gens qui vont la monayer et pire usurper ton identité !
On est bien...

[Patounet1]

S'attaquer à qui, et pour quelle raison légale ?!?

Je pense que cette administration a respecté les fameuses "règles de l'industrie", sauf que ces règles sont une vaste blague.
Pas qu'elles soient inutiles, mais car elles sont insuffisantes en général et surtout ne couvrent pas les cas particuliers ...

Je l’ai dit, au minimum, le responsable informatique, et mieux, les dirigeants, pour négligence, manque d’anticipation, mauvais résultats, … .

Respecter les règles, c’est, me semble-t-il, un minimum. Tant que ce seront les ‘’sous-fifres’’ qui seront sanctionnés (s’il y a sanctions), les choses ne changeront pas, il n’y aura pas le personnel, il n’y aura pas les moyens, nécessaires pour assurer une bonne sécurité. La sécurité ça coûte cher, ça ne rapporte rien, et en plus, souvent, ce n’est pas l’entreprise qui est la plus impactée (surtout s’il s’agit d’une administration). Seules des sanctions sur les dirigeants, hauts cadres, de l’entreprise les inciteront à mettre des moyens suffisants pour assurer la sécurité.

[STRyk]

Je l’ai dit, au minimum, le responsable informatique, et mieux, les dirigeants, pour négligence, manque d’anticipation, mauvais résultats, … .

Respecter les règles, c’est, me semble-t-il, un minimum. Tant que ce seront les ‘’sous-fifres’’ qui seront sanctionnés (s’il y a sanctions), les choses ne changeront pas, il n’y aura pas le personnel, il n’y aura pas les moyens, nécessaires pour assurer une bonne sécurité. La sécurité ça coûte cher, ça ne rapporte rien, et en plus, souvent, ce n’est pas l’entreprise qui est la plus impactée (surtout s’il s’agit d’une administration). Seules des sanctions sur les dirigeants, hauts cadres, de l’entreprise les inciteront à mettre des moyens suffisants pour assurer la sécurité.

Oualala ! Mais impossible de jouer du fouet ! Interdit !!
On en est même venu à choisir que le like, c'est pour dire...
Et oui, pathétique ! Tout le monde il est beau, tout le monde il est gentil !
Ce qui est fort dans ce truc là, c'est qu'à la base c'est leur boulot. Et même ça, c'est foiré.

[loucheux]

Nous avons tous un compte aux Impots associé à un mot de passe. Même si nous ne l'utulisons pas, nous nous sommes tous potentiellement exposés à un défaillance de France Connect.
Il faudrait être possible de désactiver son accès France Connect par les impôts et ne garder que France Identité.
Le truc qui est un peu surréaliste c'est que certain services (le CPF par exemple) ne sont accessibles qu'avec un connexion sécurisée mais certains services tout aussi importants ne le sont pas (comme la sécu ou l'ANTS).Je ne vois pas en quoi l'ANTS est moins importante que le CPF.

[g4hd]

Moi je m’en fous du CPF et de l’ANTS… je voudrais me connecter à l’AIPBP en passant par France Connect !

[Pyth]

Je ne voudrais pas que mes propos soient mal interprété, je ne suis pas un spécialiste de la cyber sécurité. Je ne fais que concevoir des logiciels/bases de données en ligne qui stockent des données non critiques.
Je mets juste en place des petits systèmes basiques avec quelques bonnes pratiques (login/mdp salés et poivrés avec variable d'environnement) et comptages des erreurs de login avec ban des IP ou arrêt complet si trop d'erreurs. Bref des choses ultra-simples.

MAIS, JE SAIS que vouloir empêcher toute intrusion dans un système est actuellement impossible. Quand les librairies utilisées, les systèmes d'exploitation, les infrastructures logicielles et réseau seront PARFAITS, alors on pourra consacrer des ressources adéquates à concevoir des système anti-intrusion parfaits, eux aussi.

En attendant, je pense que la bonne approche est de se dire : les pirates accèderont tôt ou tard au système.
Comment faire pour que les données qu'ils pourraient récupérer soient inutilisables ? Ce combat là, on a une chance de le gagner, même si ce n'est pas toujours facile.
Mais je n'ai pas rencontré souvent un DSI qui pense comme ça.

Quant à vouloir prendre des sanctions contre une personne - ou son supérieur - parce que son travail n'est pas absolument PARFAIT, ça me semble un peu inadapté (sauf si des manquements évidents peuvent être constaté).
Ça revient à dire : tu es sanctionné car un petit génie a été plus malin que toi, connais mieux ton infrastructure que toi.
Ou alors, il faudrait recommencer a développer comme dans les années 70/80, avec un taux de 20 lignes de code par jour. Mais des super lignes, vérifiées, testées et tout !

Bref, tout ça pour dire : aucun système n'est actuellement inviolable !

Ça me rappelle une pub d'Intel du début des années 2000. De mémoire, si mon interprétation était correcte, ça disait grosso modo "Avec ce processeur, si votre machine est plantée, on peut y accéder à distance pour corriger le problème" ! Et ça n'a inquiété personne : on pouvait accéder à distance à une machine juste par le hardware, sans passer par la couche logicielle, en outrepassant toutes les protections. Je suppose que ces "fonctionnalités" n'ont pas été supprimées des génération suivantes des processeurs....

[STRyk]

Tu as bien résumé le problème.
Il n'y a pas de volonté de porter les choses vers le haut. L'immédiateté du rapide profit est au centre de tout.
L'optimisation du code ! Ah non, c'est un rpeve maintenant. Des kits c'est plus rapide.
Personne en sait qui fait quoi, les passoires sont partout.
Pire sont ceux qui y croient...

[Paul Emploi]

Il n'y a eu absolument aucun problème logiciel. Point.

[STRyk]

C'est vrai, aucun problème :
https://www.franceinfo.fr/sante/enquete-fra...html#xtor=RSS-3

[JPRW]

Dans le cas du fichier FICOBA , le pb ne semble pas venir du logiciel /serveur ( aucun ne parait inviolable ) mais d' un pb d'obtention illicite d'un accès autorisé par un intrus .
Après , peut se poser la sécurisation des accès autorisés .
Faire tomber les têtes dirigeantes ne résoudra pas la "négligence" d'un utilisateur subalterne autorisé .

Ce message a été modifié par JPRW - 27 Feb 2026, 10:05.