L’intrusion aurait eu lieu fin janvier, mais n’a été communiquée que le 18 février 2026. Un pirate informatique a usurpé les identifiants d’un agent légitimement habilité à consulter Ficoba.
Ce registre administratif recense tous les comptes ouverts dans les banques françaises, avec les identités des titulaires, leurs coordonnées, parfois l’identifiant fiscal, et surtout les RIB/IBAN. Des références bancaires sensibles, qui font peser la menace de prélèvements frauduleux à grande échelle.
En réalité, un IBAN seul permet d’envoyer de l’argent vers un compte sans autorisation préalable, mais pas de le vider. Problème : combiné à d’autres données volées comme ici, il devient une mine d’or pour les acteurs malveillants.
Le plus grand risque : les faux mandats SEPA
Avec un IBAN volé, un hacker peut initier des prélèvements SEPA frauduleux sans votre consentement préalable. Pour cela, il crée un mandat SEPA falsifié, comprenez une autorisation formelle donnée par le titulaire d’un compte à un créancier pour prélever directement des fonds dans l’espace SEPA (zone euro élargie).
« La fraude la plus simple à mettre en place consiste à inscrire la victime à un faux service avec un mandat falsifié, pour prélever chaque mois de petits montants qui passent inaperçus. » nous explique Jérémie Schram, expert cyber pour WatchGuard. « Réagiriez-vous à un prélèvement intitulé « Trésor Publique » ou « TRES0R PUBLIC » ? »
Pour effectuer une telle manœuvre, les pirates s’appuient généralement sur des plateformes en ligne comme Stripe. Il leur suffit alors de créer un compte marchand, d’effectuer des micro-prélèvements (entre quelques centimes et 2 euros), puis d’automatiser des milliers d’opérations.
Les pirates misent sur votre inaction pour mettre en place des abonnements cachés aux petites sommes indolores.
Autre combine : ajouter un prélèvement SEPA à des plateformes légitimes pour effectuer des paiements. Sur une plateforme comme Amazon par exemple, la démarche en ligne est extrêmement simple, il suffit de détenir l’IBAN de la victime ainsi que son nom et prénom pour ajouter le compte bancaire aux moyens de paiement sur la plateforme.
Protections concrètes après un vol d’IBAN
À ces risques s’ajoutent les usurpations d’identité et les phishings renforcés par appel ou mail. L’interlocuteur gagne en crédibilité lorsqu’il connaît votre IBAN pendant l’échange.
« Le problème de fond réside dans le fait que de nombreuses autres données sont déjà dans la nature : avec vos noms, prénoms, adresses, documents numérisés (CNI, passeport, justificatif de domicile), informations sur vos abonnements, etc. »affirme Jérémie Schram.
« Les possibilités d’arnaques et de détournements par social engineering s’en retrouvent décuplées. Phishing ciblé, faux service bancaire, faux huissier, etc. Une boîte email compromise permettra à l’attaquant d’intervenir dans une conversation, utiliser l’IBAN comme preuve de légitimité et demander un changement de RIB pour de futurs paiements. »
Heureusement, il existe des mesures simples pour éviter que votre IBAN soit exploité, à commencer par la liste Blanche qui permet de bloquer tous les prélèvements qui ne proviennent pas de vos créanciers de confiance.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !