Piratage du fichier national des comptes bancaires : quels risques et comment s’en protéger ?

Le fisc a rendu public, mercredi 18 février, un piratage sans précédent du fichier national des comptes bancaires et assimilés (Ficoba).

Quelles sont les données concernées ?

Il ne s’agit pas du contenu des comptes en banque. Ce fichier « ne fournit aucune information sur les opérations effectuées sur le compte ou sur son solde », précise la Commission nationale de l’informatique et des libertés (CNIL). Mais ce fichier, abondé à chaque création d’un compte bancaire, postal ou d’épargne dans un établissement bancaire français, comprend cependant de nombreuses données sensibles.

Dans son communiqué, la direction générale des finances publiques (DGFIP) précise que sont concernés les numéros de comptes (le relevé d’identité bancaire, RIB) ainsi que l’identité des titulaires de comptes, leur adresse et, plus rarement, leur identifiant fiscal. En tout, 1,2 million de comptes seraient concernés, selon la DGFIP.

Comment savoir si je suis concerné ?

Le fisc a précisé que « les usagers concernés recevr[aient] dans les prochains jours une information individuelle », probablement par le biais de leur banque.

Quels sont les principaux dangers ?

Le principal danger est que le pirate se serve des RIB pour autoriser des prélèvements – pour des abonnements (téléphoniques, par exemple), le plus souvent – sur le compte des victimes. Les banques sont censées vérifier que toute autorisation de prélèvement est effectuée par le titulaire du compte, mais les contrôles en la matière sont notoirement insuffisants.

Même si le pirate n’a pas eu accès au détail des comptes, les informations qu’il a pu récupérer peuvent permettre de rendre des tentatives d’escroqueries plus crédibles. On peut imaginer une victime potentielle contactée par un escroc en se faisant passer pour son banquier, en citant son adresse et son RIB pour rendre plus crédible sa démarche. Son objectif : lui fournir l’accès à ses comptes bancaires. Fréquemment, les aigrefins contactent leur victime en prétextant une tentative de piratage et les convainquent de mettre leurs fonds à l’abri en les virant vers des comptes qu’il contrôle.

Que faire pour s’en protéger ?

Si vous êtes concerné, et afin de vous prémunir de tout prélèvement indu, il faudra suivre de près les éventuels débits sur votre compte et y faire opposition le plus rapidement possible.

Par ailleurs, il conviendra d’être particulièrement vigilant en cas de réception – par courriel, téléphone, SMS ou par voie postale – d’une communication émanant de votre banque ou d’un organisme financier. Cette dernière ne vous demandera jamais d’information sensible, par exemple vos identifiants bancaires, par téléphone ou par messagerie électronique. En cas de doute, n’hésitez pas à mettre fin à la communication et à contacter votre établissement bancaire par les canaux habituels (à partir de votre application mobile, par exemple) pour confirmer que le message initial est authentique.

Il est très improbable qu’un message authentique envoyé par votre banque vous demande de cliquer sur un lien. La plupart des communications passent désormais par l’application mobile ou votre espace personnel sur le site de la banque. En cas de réception d’un courriel ou d’un SMS avec un lien, la plus grande méfiance est de mise.

Que faire si je suis victime d’une escroquerie ?

Le service étatique cybermalveillance.gouv.fr liste une série de conseils dans ce cas de figure, notamment de faire opposition immédiatement, de conserver les preuves et de déposer plainte.