🔥 Les essentiels de cette actualité
- 1,2 million de comptes bancaires consultés illégalement pendant des semaines via les identifiants volés d’un fonctionnaire — sans que personne au sein de l’État ne s’en aperçoive en temps réel.
- RIB, IBAN, adresse, identité civile, identifiant fiscal : les données exposées dressent un portrait presque complet de chaque victime, ouvrant la voie à des usurpations d’identité ciblées à grande échelle.
- La faille n’est pas technique mais organisationnelle : comment un accès aussi massif a-t-il pu durer aussi longtemps sans déclencher la moindre alerte automatique à la DGFiP ?
- AC !! Anticorruption a déposé plainte, la CNIL a été saisie — mais l’État doit encore rendre des comptes sur ses défaillances dans la protection d’un fichier recensant 300 millions de comptes français.
Il y a quelque chose de proprement sidérant dans l’affaire du piratage du Ficoba. Non pas le piratage lui-même, car à l’ère numérique les intrusions informatiques sont devenues une menace permanente que nul ne peut entièrement écarter, mais le fait qu’il ait pu se produire à la barbe de l’État, pour reprendre l’expression du président d’AC !! Anticorruption, Marcel Claude. Un acteur malveillant a usurpé les identifiants d’un fonctionnaire et a pu consulter, tranquillement, les données de quelque 1,2 million de comptes bancaires français. Pendant des semaines. Sans que personne ne s’en aperçoive en temps réel.
Les faits sont connus depuis la mi-février, lorsque Bercy a officiellement reconnu l’existence d’« accès illégitimes » au fichier national des comptes bancaires, le Ficoba, remontant à la fin du mois de janvier. Ce fichier, tenu par la Direction générale des Finances publiques, recense environ 300 millions de comptes. Les données consultées incluent les RIB et IBAN, l’identité du titulaire, son adresse, son identifiant fiscal et, selon la Fédération bancaire française, sa date et son lieu de naissance. Un portrait civil presque complet.
« Tout au long de l’année des gens sont victimes d’usurpation d’identité. Le fichier a été consulté à la barbe de l’État ! Celui-ci doit prendre sa responsabilité et protéger les citoyens. »
C’est cette citation de Marcel Claude, présidente d’AC !! Anticorruption, qui résume le cœur du problème. L’association a déposé plainte le 19 mars au parquet de Paris et au parquet national financier, visant les infractions d’accès frauduleux à un système de traitement automatisé de données, d’extraction frauduleuse et de détournement de données à caractère personnel. La CNIL a également été saisie. Ce sont les voies légales normales. Mais elles ne répondent pas à la question de fond : comment un tel accès a-t-il pu durer aussi longtemps sans déclencher d’alerte ?
La faille est moins technique qu’organisationnelle
Ce qui frappe dans ce dossier, c’est que l’intrusion n’a pas nécessité une attaque sophistiquée contre des systèmes fortifiés. Elle a simplement exploité les identifiants d’un fonctionnaire, volés, détournés ou négligés, on ne le sait pas encore. Autrement dit, la porte n’a pas été enfoncée : elle a été ouverte avec une clé. C’est précisément cela qui est accablant pour l’administration. Une attaque par force brute peut survenir malgré toutes les précautions. Une usurpation d’identité interne révèle une faille de surveillance, de compartimentage des accès ou de formation des agents.
On peut ici légitimement interroger les protocoles en vigueur à la DGFiP. Dans tout système d’information sensible, et le Ficoba, qui recense l’intégralité des comptes bancaires des Français, entre évidemment dans cette catégorie, les accès doivent être tracés, audités et soumis à des alertes automatiques en cas de consultation anormale. Un seul individu consultant massivement des données pendant des semaines sans déclencher de signal : voilà ce qui exige des explications que Bercy n’a, pour l’heure, pas fournies de manière satisfaisante.
Le ministère a assuré que les titulaires de comptes concernés recevraient « une information individuelle les alertant qu’un accès à leurs données a pu être constaté ». C’est le minimum légal, et il faut le saluer. Mais cette notification a posteriori ne répond pas à l’exigence de prévention. Elle signifie que 1,2 million de Français doivent désormais se tenir en alerte face à des tentatives d’usurpation d’identité ou d’hameçonnage ciblé, armés de données précises sur leur identité civile et leurs coordonnées bancaires. Le préjudice potentiel est réel, même si, Bercy y insiste, le Ficoba ne permet pas de consulter les soldes ni d’effectuer des opérations.
La responsabilité de l’État ne souffre pas de demi-mesures
Il faut être clair sur ce point : l’État ne peut pas à la fois centraliser des données aussi sensibles concernant des millions de citoyens et se montrer défaillant dans leur protection. La légitimité de la collecte massive d’informations personnelles repose entièrement sur la garantie de leur sécurité. Si cette garantie n’est pas tenue, c’est le contrat fondamental entre l’administration et le citoyen qui se trouve ébranlé.
Cette affaire illustre une tension que l’on retrouve dans la gestion numérique de l’État depuis des années : la centralisation des fichiers progresse, portée par des logiques d’efficacité administrative et de contrôle fiscal légitimes, mais les moyens consacrés à leur sécurisation ne suivent pas toujours au même rythme. La DGFiP gère 300 millions de comptes dans un fichier unique. C’est une cible de premier ordre pour n’importe quel acteur malveillant, qu’il soit étatique ou criminel. En traiter la protection comme une question secondaire serait une faute lourde.
La plainte d’AC !! Anticorruption est utile en ce qu’elle force la justice à se saisir formellement du dossier et à identifier les auteurs. Mais l’enjeu dépasse la procédure pénale. Il appartient au gouvernement de rendre des comptes sur les conditions précises dans lesquelles cet accès frauduleux a pu durer, sur les mesures correctrices immédiatement engagées et sur la révision des protocoles de sécurité applicables aux fichiers les plus sensibles de l’administration. Ce n’est pas une question de droite ou de gauche. C’est une question de compétence étatique élémentaire.
L’État qui se permet de savoir tout sur les comptes de ses citoyens se doit, en retour, de les protéger comme un bien commun irremplaçable. À défaut, la confiance dans les institutions numériques de la République en prend durablement un coup, et c’est un dommage qu’aucune notification individuelle ne suffira à réparer.
IMPORTANT - À lire
L'affaire Ficoba révèle une vérité que l'État préfère taire : la centralisation des données progresse, mais leur protection reste le parent pauvre. Notre revue papier mensuelle décrypte ces dérives institutionnelles en profondeur.
Chaque mois, nous analysons les failles du pouvoir, les scandales qui ébranlent la confiance publique et les enjeux géopolitiques que les médias survolent. Rejoignez nos lecteurs et recevez l'analyse que vous méritez, directement dans votre boîte aux lettres.
