IBAN + Identité exposés : quel vrai risque ?

Read in ENGLISH »>

Plus de 1,2 mil­lion de comptes ban­caires en France sont con­cernés dans l’incident de con­sul­ta­tion illé­gale de don­nées du fichi­er FICOBA, selon le com­mu­niqué offi­ciel des autorités.

Des IBAN et des élé­ments d’identité ont fait l’objet d’un accès non autorisé.

Quels sont, con­crète­ment, les risques réels et leur hiérar­chie ?

Notre analyse dis­tingue les risques réels des risques perçus et les hiérar­chise.

Elle s’appuie notam­ment sur l’analyse de risque, les mécan­ismes de paiement européens, le cadre régle­men­taire et les don­nées pub­liées par la Banque de France et la BCE.

Cette démarche est essen­tielle en cyber­sécu­rité pour ne pas céder à la panique et pour adopter des mesures pro­por­tion­nées.

Notre analyse s’inscrit prin­ci­pale­ment dans un con­texte d’entreprise, tout en restant val­able pour les par­ti­c­uliers. Pour nos lecteurs hors de l’UE, il con­vient de véri­fi­er auprès de votre banque les divers con­trôles en place.

Points clés

  • IBAN et iden­tité ne per­me­t­tent pas d’accéder directe­ment à un compte ban­caire. Les mul­ti­ples con­trôles du sys­tème ban­caire européen con­stituent une bar­rière forte.
  • Le risque de faux prélève­ment SEPA est très faible. Les con­trôles imposés aux créanciers, la traça­bil­ité des opéra­tions et les mécan­ismes de rem­bourse­ment dis­suadent les ten­ta­tives.
  • Le prin­ci­pal risque est l’exploitation de l’identité : manip­u­la­tion et usurpa­tion d’identité. Des infor­ma­tions réelles plus com­plètes ren­dent les escro­queries plus ciblés et con­va­in­cants.
  • L’usurpation d’identité peut avoir des con­séquences graves et plus durables, avec des impacts financiers, juridiques et répu­ta­tion­nels.

Quelles données FICOBA ont été consultées ?

Le fichi­er FICOBA (Fichi­er des comptes ban­caires et assim­ilés), géré par la Direc­tion générale des Finances publiques, recense l’ensemble des comptes ouverts auprès des étab­lisse­ments ban­caires en France.

Il con­tient un ensem­ble d’informations admin­is­tra­tives per­me­t­tant d’identifier les tit­u­laires et les comptes asso­ciés.
Pour en savoir plus, voir l’annexe « Con­tenu du fichi­er FICOBA ». 

Dans l’incident évo­qué, les autorités indiquent que les don­nées con­sultées con­cer­nent :

  • l’état civ­il des tit­u­laires de comptes : nom (dénom­i­na­tion sociale), prénom, date et lieu de nais­sance
  • l’adresse postale
  • les coor­don­nées ban­caires (IBAN)

En par­ti­c­uli­er, le fichi­er FICOBA ne com­pren­nent pas :

  • le sol­de d’un compte,
  • l’historique des opéra­tions,
  • les mou­ve­ments financiers.

Accès direct au compte bancaire et virement : risque très faible

L’IBAN seul ne per­met pas d’accéder à un compte, ni d’effectuer un vire­ment depuis ce compte.

Il con­vient de not­er que l’IBAN est un iden­ti­fi­ant pub­lic, conçu pour être partagé. Il cir­cule dans de nom­breux échanges com­mer­ci­aux et peut déjà être con­nu de tiers non autorisés.

La dif­fu­sion d’un IBAN isolé n’est générale­ment pas une don­née cri­tique.

Même com­binés, l’IBAN et l’identité com­plète ne per­me­t­tent pas, à eux seuls, d’accéder directe­ment à un compte ni d’initier un vire­ment.

Il faut pass­er plusieurs étapes de con­trôles ban­caires, encadrés et ren­for­cés par les régle­men­ta­tions européennes depuis 2015, notam­ment celles rel­a­tives à l’authentification forte et la ges­tion des iden­tités.

Pour accéder à un compte ban­caire en ligne, l’IBAN n’est générale­ment pas utile. Les élé­ments min­i­mums req­uis ne sont pas con­tenus dans le fichi­er FICOBA. En général, ils com­pren­nent un iden­ti­fi­ant client, un mot de passe et un dis­posi­tif de val­i­da­tion (le plus sou­vent un télé­phone mobile) ou élé­ments bio­métriques.

Pour effectuer des opéra­tions en agence, l’IBAN ne suf­fit pas. La banque doit véri­fi­er l’identité du client à par­tir d’éléments qui ne fig­urent pas dans le fichi­er FICOBA, tels qu’une pièce d’identité, une sig­na­ture ou d’autres infor­ma­tions détenues par la banque.

Pour effectuer un vire­ment, la banque débi­trice doit effectuer des con­trôles sup­plé­men­taires, notam­ment des con­trôles anti-fraude (mon­tant, pays de des­ti­na­tion, des­ti­nataire inhab­ituels). Des pla­fonds jour­naliers, défi­nis notam­ment en fonc­tion du pro­fil du débi­teur, exis­tent pour lim­iter les sommes trans­férées.

Ces con­trôles tech­niques du sys­tème ban­caire et de paiement européen con­stituent une bar­rière forte à un accès non autorisé aux comptes ban­caires.

Faux prélèvement SEPA : risque faible

Le prélève­ment SEPA est le prin­ci­pal mécan­isme de paiement per­me­t­tant à un créanci­er d’initier un débit sur le compte d’un débi­teur, sans accès direct à son compte ban­caire.

En théorie, ce mécan­isme pour­rait être détourné par un fraudeur dis­posant d’un IBAN et de don­nées d’identité.

En pra­tique, cela est rel­a­tive­ment dif­fi­cile exploiter à grande échelle sans infra­struc­ture fraud­uleuse.

Des contrôles réglementaires exigeants du créancier

Avant de pou­voir émet­tre des prélève­ments, un créanci­er doit oblig­a­toire­ment pass­er par une banque ou un prestataire de paiement, par­tic­i­pant au sys­tème SEPA, qui applique des con­trôles régle­men­taires stricts.

  • véri­fi­ca­tion de l’identité du créanci­er (KYC – Know Your Cus­tomer)
  • attri­bu­tion d’un iden­ti­fi­ant créanci­er SEPA unique par la banque du créanci­er (ICS — Iden­ti­fi­ant Créanci­er SEPA)
  • sur­veil­lance et détec­tion con­tin­ue automa­tisée des com­porte­ments sus­pects

Traçabilité des prélèvements

Chaque prélève­ment est iden­ti­fi­able par des codes (ICS, RUM, IBAN). Il est donc pos­si­ble de remon­ter jusqu’au créanci­er et à la banque émet­trice.

Cette traça­bil­ité facilite les enquêtes ban­caires et la con­tes­ta­tion des prélève­ments fraud­uleux.

Des protections réglementaires fortes du débiteur

En cas de prélève­ments fraud­uleux effec­tifs, la régle­men­ta­tion prévoit le rem­bourse­ment jusqu’à 13 mois à compter de la date du débit en compte, si la vic­time est un par­ti­c­uli­er.

Pour les entre­pris­es, cette pro­tec­tion de rem­bourse­ment varie selon le type de prélève­ment util­isé, décidé entre les par­ties.

  • En SEPA Core - util­isé par les par­ti­c­uliers et très large­ment par les PME — le payeur peut obtenir un rem­bourse­ment sans jus­ti­fi­ca­tion sous 8 semaines, et jusqu’à 13 mois en cas de prélève­ment non autorisé (man­dat inexistant/invalide).
  • Le SEPA B2B est util­isé entre les entre­pris­es. Ce mode n’autorise pas le rem­bourse­ment automa­tique après exé­cu­tion. Mais la sécu­rité est ren­for­cée par une dou­ble véri­fi­ca­tion, car la banque débi­trice doit véri­fi­er que le même man­dat est préal­able­ment enreg­istré par son client avant d’au­toris­er le débit.

Si en théorie, le faux prélève­ment SEPA est tech­nique­ment pos­si­ble, les mécan­ismes de con­trôle et de pro­tec­tion régle­men­taires ren­dent un tel risque extrême­ment faible.

Les sta­tis­tiques pub­liées par la Banque de France et la BCE con­fir­ment que la fraude sur les prélève­ments reste très mar­ginale, notam­ment com­parée à la fraude à la carte ban­caire.

Selon la Banque de France, le taux de fraude sur les prélève­ments s’élevait à 0,0021 % du mon­tant total des prélève­ments au pre­mier semes­tre 2025 (soit env­i­ron 2 € pour 100 000 €), en hausse par rap­port à 0,0014 % un an aupar­a­vant. Il con­vient égale­ment de not­er que les faux prélève­ments SEPA ne con­stituent qu’une sous-caté­gorie des prélève­ments fraud­uleux.

Cette pro­gres­sion peut refléter l’apparition de nou­velles ten­ta­tives et l’adaptation des fraudeurs, tout en restant très lim­itée au regard des vol­umes de prélève­ments traités.

Le véritable risque : l’exploitation de l’identité

L’ex­ac­ti­tude et la com­plé­tude des don­nées d’identité telles qu’issues du fichi­er FICOBA représen­tent une véri­ta­ble valeur pour un fraudeur.

Manipulation humaine : des escroqueries plus ciblées et crédibles

L’exploitation la plus prob­a­ble relève de l’ingénierie sociale. Cela englobe toutes les tech­niques, telles que le phish­ing, dont le but est d’obtenir la coopéra­tion de la vic­time pour qu’elle valide elle-même une trans­ac­tion en pen­sant répon­dre à une demande offi­cielle.

Plus les infor­ma­tions util­isées sont réelles, plus un appel ou mes­sage d’escroquerie peut paraître légitime et a des chances de réus­sir.

Dans les organ­i­sa­tions, les équipes finan­cières ou admin­is­tra­tives sont sou­vent ciblées car elles sont en mesure d’autoriser des paiements ou des opéra­tions sen­si­bles.

Selon la Banque de France, la fraude par manip­u­la­tion représente 40% du mon­tant total de la fraude aux paiements en France, au pre­mier semes­tre 2025. Elle est en hausse con­stante depuis 2021.

Le risque prin­ci­pal devient alors humain et organ­i­sa­tion­nel, et non tech­nique.

Usurpation d’identité : des conséquences graves et durables

Un fraudeur usurpe une iden­tité dans le but d’agir fraud­uleuse­ment en se faisant pass­er pour la vic­time et d’exploiter la crédi­bil­ité asso­ciée à son iden­tité.

Pour une entre­prise, voici quelques exem­ples fréquents et avérés de fraudes com­mer­ciales avec usurpa­tion d’identité.

Usurpa­tion du crédit inter-entre­pris­es
Le fraudeur com­mande des marchan­dis­es au nom de l’entreprise auprès de four­nisseurs. Les pro­duits sont livrés ailleurs, mais les fac­tures arrivent chez l’entreprise vic­time.
Con­séquences : fac­tures impayées, lit­iges avec les four­nisseurs et détéri­o­ra­tion de la rela­tion com­mer­ciale.

Fraude au finance­ment (leas­ing, loca­tion longue durée)
Le fraudeur souscrit des con­trats de finance­ment en util­isant l’identité de l’entreprise pour obtenir du matériel ou des véhicules, sans inten­tion de pay­er les loy­ers.
Con­séquences : impayés asso­ciés à l’entreprise et con­tes­ta­tion du con­trat finance­ment.

Dégra­da­tion de la nota­tion finan­cière
Les inci­dents de paiement liés à ces fraudes peu­vent être sig­nalés aux assureurs-crédit, ban­ques et bases d’information finan­cières (par exem­ple Allianz Trade, Coface).
Con­séquences : baisse de la nota­tion crédit, réduc­tion du crédit four­nisseur et exi­gences de paiement comp­tant.

Con­traire­ment à un prélève­ment fraud­uleux, générale­ment détectable sur un relevé ban­caire et rem­boursée par la banque, ces sit­u­a­tions peu­vent rester invis­i­bles pen­dant plusieurs mois et appa­raître lors d’un lit­ige, d’une mise en demeure ou d’un refus de finance­ment.

Les con­séquences d’une usurpa­tion d’i­den­tité peu­vent alors être plus graves et plus longues à résor­ber. Par­fois, elles sont à la fois finan­cières, juridiques et répu­ta­tion­nelles. La vic­time peut se retrou­ver impliquée dans des procé­dures ou des inves­ti­ga­tions com­plex­es et longues jusqu’à la clar­i­fi­ca­tion com­plète des faits.

Mesures de vigilance

Quelques pra­tiques sim­ples per­me­t­tent de réduire la prob­a­bil­ité de réus­site des ten­ta­tives de fraude liées à l’exploitation de l’IBAN et de l’identité et de lim­iter leur impact.

  • Sur­veiller régulière­ment les opéra­tions ban­caires ou compt­a­bles,
  • Sig­naler toute opéra­tion sus­pecte à sa banque,
  • Rester vig­i­lant face aux sol­lic­i­ta­tions inhab­ituelles,
  • Véri­fi­er toute demande via les canaux offi­ciels des organ­ismes con­cernés.

Pour conclure

Les don­nées issues de FICOBA ne per­me­t­tent pas, à elles seules, de con­tourn­er les dis­posi­tifs tech­niques ban­caires.

Le risque prin­ci­pal ne réside pas dans un accès direct aux comptes ni dans les faux prélève­ments SEPA.

Il réside dans l’exploitation de la crédi­bil­ité d’une iden­tité réelle pour manip­uler des per­son­nes ou engager des démarch­es fraud­uleuses en leurs noms, à leur insu.

Com­pren­dre cette dis­tinc­tion per­met d’évaluer cor­recte­ment la men­ace et d’adopter des mesures pro­por­tion­nées, sans panique.

Annexe

Contenu du fichier FICOBA

Sources : DGFiP (Direc­tion générale des finances publiques) et CNIL (Com­mis­sion nationale de l’informatique et des lib­ertés). 

Infor­ma­tions sur le tit­u­laire

  • Nom, prénoms
  • Date et lieu de nais­sance
  • Adresse
  • Pour une per­son­ne morale : dénom­i­na­tion sociale, adresse, forme juridique et numéro SIRET
  • Numéro fis­cal

Infor­ma­tions sur le compte

  • Type de compte :
    • Compte courant, d’épargne, titres
    • Compte indi­vidu­el, joint, indi­vis
    • Cof­fre-fort ban­caire
  • Numéro du compte (IBAN)
  • Étab­lisse­ment teneur du compte
  • Date d’ouverture et de clô­ture

Il ne con­tient pas :

  • Le sol­de d’un compte
  • Les mou­ve­ments et opéra­tions ban­caires réal­isées
  • Le con­tenu d’un cof­fre

Fonctionnement d’un prélèvement SEPA

Con­traire­ment à un vire­ment, qui est ini­tié par le tit­u­laire du compte, un prélève­ment est ini­tié par le créanci­er (par exem­ple : four­nisseur d’énergie, opéra­teur télé­phonique, admin­is­tra­tion).

Ce mod­èle repose sur un principe sim­ple et automa­tisé :

  • le créanci­er envoie une demande de prélève­ment au sys­tème ban­caire,
  • la banque du débi­teur exé­cute le prélève­ment,
  • le man­dat est con­servé par le créanci­er, et non par la banque du débi­teur.

La banque du débi­teur n’a générale­ment pas le man­dat et ne le con­trôle pas à l’exécution, sauf en mode B2B. Ce fonc­tion­nement est volon­taire : il per­met l’automatisation de mil­lions de prélève­ments légitimes chaque jour dans toute la zone SEPA.

Références

Auteur
Lai Ly
Spé­cial­iste Secteur Financier
Spé­cial­iste Gou­ver­nance Cyber­sécu­rité PME

Con­tribu­teur
Stéphane Hivert
Spé­cial­iste Cyber­sécu­rité PME
Spé­cial­iste e‑commerce, indus­trie

Disclaimer

Ce rap­port est fourni à titre infor­matif unique­ment et reflète l’opinion de son auteur à la date de l’analyse. Il ne con­stitue pas un avis juridique ou régle­men­taire et ne garan­tit pas l’absence de risques ou de vul­néra­bil­ités. Les men­aces et niveaux de risque peu­vent évoluer dans le temps. Toute déci­sion prise sur la base de ce rap­port relève de la seule respon­s­abil­ité du lecteur.