cyberattaque

Le piratage de 1,2 million de comptes bancaires en France : quels risques et comment se protéger ?

Paris, 18 février 2026 – Une fuite massive de données bancaires touche désormais la France. Selon des sources officielles relayées par plusieurs médias fiables, un fichier national contenant les informations personnelles de près de 1,2 million de comptes bancaires aurait été consulté illégalement par un « acteur malveillant ». Ce drame informatique soulève des questions critiques sur la cybersécurité dans le secteur financier français et ouvre la voie à des conséquences graves pour les victimes.

Un événement sans précédent dans le paysage bancaire français

Le Ministère du Budget a confirmé mercredi soir que des données sensibles — dont l’identité des titulaires, leurs adresses postales, leurs numéros de RIB (Relevé d'Identité Bancaire) ou IBAN — avaient été extraites non autorisément d’un fichier centralisé géré par l’administration fiscale. Bien que ce dernier n’ait pas explicitement identifié le véritable origine de la fuite, il a indiqué que ces données provenaient du fichier national des comptes bancaires, utilisé notamment pour le suivi fiscal et les opérations administratives.

Ce volume impressionnant de données compromises place cette affaire au cœur d’une crise de confiance entre citoyens et institutions financières. Les cybercriminels disposent désormais de suffisamment d’informations pour orchestrer des attaques sophistiquées, notamment via le phishing ciblé ou encore des prélèvements frauduleux.

Chronologie des faits : de la détection à la réaction institutionnelle

• Mercredi 18 février 2026 : Bercy reconnaît publiquement la fuite après une alerte interne. Le ministère déclare que « des données relatives à 1,2 million de comptes bancaires ont été consultées de manière illégale par un acteur malveillant ».
• Jeudi 19 février : Le Gouvernement annonce la mise en place immédiate d’un groupe de travail interministériel chargé d’enquêter sur l’origine technique de la fuite.
• Vendredi 20 février : Des banques comme BNP Paribas, Société Générale et Crédit Agricole signalent une augmentation anormalement élevée de tentatives d’accès frauduleuses depuis les jours précédents.
• Samedi 21 février : Le CNIL (Commission Nationale de l'Informatique et des Libertés) exprime sa vigilance et recommande aux particuliers de surveiller attentivement leurs relevés bancaires.

Quels sont les risques concrets pour les particuliers ?

Les experts alertent sur trois menaces majeures :

1. Phishing ciblé

Avec leur nom, adresse et RIB, les fraudeurs peuvent créer des e-mails ou messages SMS très convaincants, prétendant provenir d’une banque ou d’une administration. Ces communications demandent souvent de « vérifier » un compte ou de « mettre à jour » des informations bancaires — tout en redirigeant vers des sites malveillants.

2. Prélèvements automatiques frauduleux

Grâce au RIB compromis, les criminels peuvent initier des virements directs vers leurs propres comptes, même sans accès physique à un terminal bancaire.

3. Création de comptes bancaires falsifiés

En combinant plusieurs données personnelles volées, les escrocs pourraient tenter de souscrire à de nouveaux produits financiers en se faisant passer pour le titulaire légitime.

« On assiste à une montée en puissance des attaques de type credential stuffing et d’ingénierie sociale », explique Marc Lefèvre, chercheur en sécurité informatique au laboratoire de l’Université Paris-Dauphine. « Avec un RIB, vous donnez presque le code d’accès à votre propre coffre-fort. »

Contexte historique : une vulnérabilité croissante dans le secteur financier

Cette fuite ne survient pas dans un vide juridique. Depuis plusieurs années, les autorités sanitaires, judiciaires et administratives ont subi des cyberattaques massives. En 2024, par exemple, la plateforme de santé publique Ameli a été touchée, affectant des millions de citoyens. Or, le secteur bancaire reste traditionnellement perçu comme plus sécurisé… jusqu’à ce qu’il devienne une cible privilégiée pour les hackers.

Selon Europol, les fuites de données bancaires en Europe ont augmenté de 47 % en un an. La France, malgré son cadre réglementaire solide (RGPD, loi Sapin II), n’est pas immunisée. L’absence de transparence sur la gestion centraleisée des données fiscales suscite désormais des appels à la modernisation des infrastructures numériques.

Réactions des principaux acteurs

• Bercy : « Nous travaillons avec toutes les institutions concernées pour limiter les dommages et renforcer nos systèmes de défense. »
• Banques françaises : Plusieurs ont suspendu temporairement certaines fonctions d’autorisation automatique pour prévenir les fraudes potentielles.
• CNIL : « Cette fuite souligne l’importance de la protection des données personnelles. Les particuliers doivent rester vigilants. »
• Parlement européen : Certains eurodéputés appellent à une révision urgente de la directive PSD2, qui encadre les services de paiement numérique.

Que faire si vous faites partie de ces 1,2 millions de titulaires ?

Même si l’identification exacte des victimes n’est pas encore possible, les experts conseillent de prendre des mesures préventives immédiates :

1. Changer tous ses mots de passe sur les plateformes bancaires, messageries et comptes sociaux.
2. Activer la double authentification (2FA) sur chaque service sensible.
3. Surveiller quotidiennement ses relevés bancaires et signaler toute anomalie.
4. Ne cliquer sur aucun lien suspect envoyé par e-mail ou SMS.
5. Contacter votre banque pour demander une surveillance accrue de votre compte.

« Ne sous-estimez jamais un RIB compromis », insiste Sophie Moreau, experte en cybersécurité au cabinet KPMG France. « C’est comme donner à quelqu’un les coordonnées de votre maison ET les clés du garage. »

Vers une refonte des systèmes de données publiques ?

Face à cette crise, certains observateurs plaident pour une décentralisation accrue des données sensibles. Actuellement, Bercy conserve un fichier centralisé — une cible idéale pour les cyberattaques. D’autres pays, comme l’Allemagne ou le Royaume-Uni, ont opté pour des systèmes plus fragmentés, où chaque établissement bancaire gère ses propres bases sous contrôle régulateur strict.

De plus, la question de la responsabilité algorithmique se pose : certains systèmes automatisés utilisent ces fichiers pour détecter les fraudes… mais peuvent aussi être eux-mê