"Depuis maintenant près de deux ans, il ne se passe pas une semaine voire une journée sans qu’on entende parler d'une nouvelle fuite de données en France". Tels sont les mots de Clément Domingo, expert en cybersécurité et "hacker éthique", après la révélation mercredi 18 février d’une nouvelle défaillance des services publics en matière de protection des données.

Le ministère de l’Économie a révélé dans un communiqué qu’un "acteur malveillant" a pu accéder, depuis fin janvier, à 1,2 million de comptes du fichier national des comptes bancaires (Ficoba). Ce fichier, qui est alimenté et actualisé par les banques, centralise tout un tas de données bancaires sensibles : liste de tous les comptes bancaires ouverts en France, identité de leur titulaire, coordonnées bancaires (RIB et IBAN), identifiant fiscal de l’usager dans certains cas...

"Dès la détection de cet incident, des mesures immédiates de restriction d'accès ont été mises en œuvre afin de stopper l'attaque, de limiter l'ampleur des données consultées et extraites de cette base", a aussi expliqué Bercy, qui a précisé que les titulaires de comptes bancaires concernés seront prévenus individuellement "dans les prochains jours".

Cette intrusion suscite en tout cas des inquiétudes chez les usagers des banques, dont l’association France Conso Banque défend les intérêts. "C'est un piratage extrêmement inquiétant", a affirmé sur franceinfo son président Michel Guillaud, estimant qu’il s’agit là de "la première fois qu'on s'attaque à des fichiers fiscaux".

"Manque d’hygiène numérique" à tous les niveaux

"Ce n’est pas la première faille de sécurité, ce ne sera pas la dernière", relève Kévin Tellier, ingénieur en cybersécurité chez Synacktiv. Dans le cas précis de Bercy, l’intrusion a été rendue possible après que les identifiants d’un fonctionnaire qui avait accès au Ficoba ont été usurpés.

Ce mode opératoire rappelle celui qui avait permis, en décembre, à un cyberpirate d’accéder à des fichiers sensibles du ministère de l’Intérieur – dont le fichier des personnes recherchées (FPR) et le traitement des antécédents judiciaires (TAJ). "Pour le ministère de l'Intérieur, c’était le compte d'un enquêteur qui avait été utilisé par les attaquants", rappelle Kévin Tellier. Pour parvenir à ses fins, le hacker avait, en effet, piraté des boîtes mails de la police contenant des mots de passe afin d'accéder à des applications sensibles de Beauvau.

Selon Clément Domingo, il y a eu dans ces deux situations un "manque d’hygiène numérique", c’est-à-dire un ensemble de bonnes pratiques visant à maintenir la sécurité d’un système informatique. "Un mot de passe et une adresse mail d'un employé suffisent simplement à chaque fois pour pirater des données sensibles. En fin de compte, il n'y a pas assez de cette hygiène numérique que les administrations et les entreprises devraient avoir, cette culture de la cybersécurité n'est pas du tout présente", déplore l’expert.

C’est aussi ce qu’a reconnu mi-janvier le ministre de l’Intérieur devant les sénateurs, en parlant de "défaut d’hygiène numérique" au sujet de la cyberattaque de son ministère. Laurent Nunez a aussi expliqué que "la double identification systématique a été imposée sur toutes les applications qui figuraient sur le portail dans lequel a pénétré l’assaillant". Ce qui revient à sous-entendre que l’accès à des données sensibles pouvait se faire par un point d’accès de sécurité unique jusqu’au piratage du mois de décembre.

C’est d’ailleurs cet écueil que pointe Kévin Tellier, qui est habitué à mettre à l’épreuve les systèmes informatiques des clients de l’entreprise pour laquelle il travaille. "La première protection qui aurait dû être mise en place, c’est l'authentification multifacteur sur des comptes de fonctionnaires ayant des accès à des données assez sensibles", explique-t-il. "Il doit aussi y avoir une prise de conscience sur les bonnes pratiques de sécurité, aussi bien au niveau des employés que des entreprises et des institutions, pour se prémunir contre ce genre d'attaques opportunistes" comme cela est arrivé à Bercy.

Les intrusions de ces derniers mois sont loin d’être des cas isolés : quelque 17 600 cyberattaques ont été enregistrées en France sur l’année 2025, soit une hausse de 4 % par rapport à 2024, selon des données publiées jeudi 19 février par le service statistiques du ministère de l’Intérieur. Sur la même période, les atteintes aux acteurs publics ont augmenté de 19 %.

"De vraies répercussions sur la vie des gens"

"Lorsque vous regardez les fuites d'informations en France, cela donne un cumul de dizaines de millions de données piratées sur ces cinq à dix dernières années, et qui sont maintenant disponibles gratuitement en ligne… Aujourd’hui, la France est vraiment la très mauvaise élève de la cybersécurité en Europe", estime Clément Domingo. Comparé à ses voisins européens comme le Royaume-Uni ou l'Allemagne, l'Hexagone a aussi des administrations plus centralisées qui rendent les fuites plus importantes en cas de compromission de bases de données.

Ces fuites massives de données françaises, tout comme celles du ficoba de Bercy qui pourraient bientôt se retrouver en vente sur le darkweb, ne sont pas sans conséquences concrètes pour une partie de la population. À commencer par le risque de phishing ou hameçonnage – se faire passer frauduleusement, par mail, par sms ou par téléphone, pour un organisme de confiance afin de dérober des données personnelles ou de l’argent.

"Dans le cas des données du ficoba, les pirates auront des informations bancaires personnelles de victimes potentielles. Ce sera donc un peu plus crédible quand quelqu’un vous appellera en se faisant passer pour votre banque, en vous donnant votre bon numéro de RIB et / ou de compte, prétextant une opération frauduleuse sur laquelle vous devriez intervenir alors que cela s’avèrera être finalement une arnaque", explique Kévin Tellier.

La Fédération bancaire française a aussi mentionné d’autres situations où ces données bancaires pourraient être utilisées frauduleusement. "À partir d’un IBAN, de faux créanciers peuvent demander l’exécution de prélèvements à deux conditions", écrit la FBF. "La première : être enregistré en tant qu’émetteur de prélèvements auprès d’un prestataire de services de paiement. La seconde : avoir des mandats de prélèvement." Autrement dit, même si un IBAN ne permet pas un prélèvement direct, un fraudeur peut se faire passer pour un créancier légitime et falsifier des mandats de prélèvement pour débiter un compte dont il possède juste l’IBAN. Les victimes de cette arnaque auraient toutefois jusqu’à 13 mois pour contester un ou des prélèvements inconnus sur leur compte.

Cette énième cyberattaque reconnue mercredi par Bercy inspire finalement ce constat à Clément Domingo : "On n'est toujours pas capable de protéger les données des Français", déplore l’expert en cybersécurité. Et il conclut : "En plus, les pouvoirs publics – en particulier la classe politique – ne prennent toujours pas la parole sur le sujet, donnant l’impression que chaque fuite de données est banale. Alors qu’au final ces fuites ont de vraies répercussions sur la vie des gens."

Avec AFP