La direction générale des finances publiques (DGFiP) a alerté sur des accès illégitimes au Fichier national des comptes bancaires (Ficoba) ayant exposé les données de 1,2 million de comptes et annonce une notification à la CNIL ainsi qu’un dépôt de plainte.
La DGFiP a tiré la sonnette d’alarme. En cause : des accès illégitimes au Ficoba, qui ont exposé les données bancaires de 1,2 million de comptes fin janvier.
La CNIL notifiée, et une plainte déposée
Un acteur malveillant a usurpé les identifiants d’un fonctionnaire et consulté une partie du fichier Ficoba qui, pour rappel, recense l’ensemble des comptes bancaires ouverts dans les établissements bancaires tricolores. Le fichier consulté contient des données personnelles sensibles telles que des coordonnées bancaires (RIB / IBAN), l’identité du titulaire, son adresse et, dans certains cas, l’identifiant fiscal.
La direction générale des finances publiques indique que des mesures de restriction d’accès ont été mises en place immédiatement après la détection de l’incident, « afin de stopper l’attaque, de limiter l’ampleur des données consultées et extraites de cette base ». Une information individuelle va être envoyée aux usagers impactés.
Conformément aux obligations réglementaires, l’incident a été notifié à la Commission nationale de l'informatique et des libertés (CNIL). Une plainte a également été déposée. « Les équipes informatiques de la DGFiP sont pleinement mobilisées, en lien avec les services du ministère des Finances (service du haut fonctionnaire de défense et de sécurité – HFDS) et l'Agence nationale de la sécurité des systèmes d'information (ANSSI), afin de traiter cet incident et de renforcer la sécurité du système d'information (SI) », assure Bercy.
Mauvaise hygiène numérique
Ces attaques répétées, et réussies, contre le service public interrogent sur les mesures de protection et de sensibilisation mises en œuvre au plus haut niveau de l’État. Fin d’année dernière, le ministère de l’Intérieur avait fait les frais d’une cyberattaque. Une personne de 22 ans a depuis été mise en examen. Le cybercriminel présumé aurait profité d’une négligence de la part d’agents de la police nationale, qui se sont échangés des mots de passe en clair. Ce que le ministre de l’Intérieur, Laurent Nuñez, avait qualifié de « défaut d’hygiène numérique » lors d’une audition au Sénat.
Le criminel avait ainsi pu accéder à des fichiers du Traitement d’antécédents judiciaires (TAJ), du Fichier des personnes recherchées (FPR), ainsi qu’à des fiches Interpol. Le ministre avait indiqué que la double identification était déployée au fur et à mesure, afin de renforcer la sécurité auprès des 300 000 agents rattachés au ministère et des 1 000 systèmes d’information que gère le ministère. Le b.a.-ba.
