1,2 million de comptes bancaires. C’est le chiffre lâché mercredi soir par le ministère de l’Économie, dans un communiqué qui a de quoi glacer le sang. Un pirate informatique a réussi à s’introduire dans le fichier FICOBA, la base de données qui recense tous les comptes bancaires ouverts en France. Mais comment un seul mot de passe volé peut-il mener à une fraude bancaire massive ? On décortique le processus, étape par étape.

Le point d’entrée : voler un accès

Contrairement à ce qu’on voit dans les films, un pirate ne « casse » presque jamais un système informatique à mains nues. Dans 80 % des cas, selon Cybermalveillance.gouv.fr, l’attaque commence par un être humain qui se fait avoir. Un mail de phishing bien ficelé, un SMS qui imite votre banque, un coup de fil d’un faux support technique. Le but est toujours le même : récupérer un identifiant et un mot de passe.

Et ça marche. Parce que le message est crédible, parce qu’on est pressé, parce qu’on ne vérifie pas l’adresse de l’expéditeur. Le rapport 2024 de l’ANSSI pointe le phishing comme vecteur numéro un des compromissions de comptes en France. Europol, dans son Internet Organised Crime Threat Assessment, confirme la tendance au niveau européen.

On parle aussi parfois de « credential stuffing ». Le principe : un pirate récupère des millions de couples identifiant/mot de passe issus de fuites précédentes (et il y en a des tonnes en circulation sur le dark web) puis les teste automatiquement sur d’autres sites. Vous utilisez le même mot de passe partout ? Bingo.

Ce que les hackers cherchent vraiment

Une fois dans le système, le pirate ne se contente pas de regarder. Il copie. RIB, IBAN, noms, adresses, numéros fiscaux dans le cas du fichier FICOBA. Ce type de données vaut de l’or sur les marchés noirs en ligne.

À lire aussi

Fuite de données bancaires : 1,2 million de comptes piratés via un fichier de Bercy

Les prix ? Un numéro de carte bancaire avec CVV se vend entre 5 et 30 euros, selon le pays et le plafond du compte, d’après les analyses de Recorded Future. Un dossier complet (identité + coordonnées bancaires + adresse) peut atteindre 50 euros. Multipliez par 1,2 million de comptes et le calcul donne le vertige.

Mais le pirate ne va pas forcément utiliser les données lui-même. La revente est souvent plus rentable et moins risquée que l’exploitation directe. Ces fichiers circulent sur des forums spécialisés, accessibles via Tor, et changent de mains plusieurs fois avant qu’un escroc ne s’en serve.

Du fichier volé à votre compte vidé

C’est là que ça devient concret pour les victimes. Plusieurs scénarios existent.

Le prélèvement frauduleux, d’abord. Avec un IBAN, un escroc peut tenter de mettre en place un mandat de prélèvement SEPA à votre insu. La procédure est censée être protégée, mais les failles existent, comme l’a rappelé la Banque de France dans son rapport sur la sécurité des moyens de paiement.

Le vishing ensuite (voice phishing). Un faux conseiller bancaire vous appelle, cite votre nom, votre adresse, votre numéro de compte. Il sait tout. « Nous avons détecté une activité suspecte sur votre compte, pouvez-vous confirmer votre code de validation ? » En réalité, c’est lui qui est en train de valider un virement depuis votre espace client.

L’usurpation d’identité, enfin. Avec suffisamment de données personnelles, un escroc peut ouvrir un crédit à la consommation à votre nom, souscrire un abonnement téléphonique ou même rediriger votre courrier postal.

Le saviez-vous ?

En France, la fraude aux moyens de paiement a représenté 1,195 milliard d’euros en 2023, d’après l’Observatoire de la sécurité des moyens de paiement, rattaché à la Banque de France. Le chiffre est en légère baisse par rapport à 2022, mais reste colossal. Et les techniques évoluent plus vite que les protections.

Se protéger, les vrais réflexes

Pas de recette miracle, mais des réflexes qui font la différence.

Premier réflexe : un mot de passe unique par service. Oui, c’est pénible. Utilisez un gestionnaire de mots de passe (Cybermalveillance.gouv.fr recommande KeePassXC, gratuit et open source). Si un site se fait pirater, vos autres comptes restent intacts.

Deuxième réflexe : activer la double authentification partout où c’est possible. Votre banque, vos mails, vos réseaux sociaux. Un pirate qui a votre mot de passe mais pas votre téléphone se retrouve bloqué.

Troisième réflexe : ne jamais communiquer un code de validation par téléphone. Votre banque ne vous demandera pas ça. Si quelqu’un appelle en prétendant être votre conseiller et réclame un code, raccrochez. Puis appelez votre agence vous-même, avec le numéro officiel.

Quatrième réflexe : surveiller ses comptes. Un petit prélèvement de 4,99 euros que vous ne reconnaissez pas ? Ne laissez pas traîner. C’est souvent un test avant un débit plus important.

Et si c’est trop tard ?

Vous pensez être victime ? Faites opposition immédiatement auprès de votre banque. Signalez sur la plateforme Perceval du ministère de l’Intérieur pour la fraude à la carte bancaire, ou sur cybermalveillance.gouv.fr pour les autres cas. Déposez plainte au commissariat ou en gendarmerie. Et gardez tout : les SMS suspects, les mails, les captures d’écran. Ce sont des preuves.

La fuite de Bercy rappelle une vérité un peu gênante : dans la chaîne de sécurité informatique, le maillon le plus faible reste souvent humain. Un mot de passe trop simple, un clic de trop sur un lien douteux, et des millions de personnes se retrouvent exposées. La question n’est plus vraiment de savoir si vos données seront un jour dans la nature, mais quand.