Mise à jour du 19/02/2026 : Suite au vol de données bancaires d’1.2 million de comptes annoncé par le ministère de l’Économie, la Direction générale des finances publiques indique un ensemble important d’informations. Dans ces éléments dérobés, on note la présence des coordonnées bancaires (RIB et IBAN, ainsi que l’identité du titulaire, son adresse et même parfois son identifiant fiscal. La même DGFIP indique que ces données ne permettent pas de consulter les soldes des comptes bancaires ni de faire des opérations. C’est vrai, en l’absence de mot de passe pour accéder aux comptes, la consultation de ceux-ci est impossible.

Reste qu’en croisant ces données avec d’autres et si vous utilisez le même mot de passe partout, cela devient très dangereux. Et, surtout, cela me rappelle la mésaventure que j’ai vécu en 2024. Je remonte donc ce billet des entrailles du blog. D’autant que vu le nombre de fuites récentes que recense le site Bonjourlafuite.eu.org, il devient possible de créer des intitulés de prélèvements extrêmement ciblés.

Billet original du 24/10/2024 : Depuis des mois, le vol de données est devenu un sujet récurrent. Ils se succèdent en France, chez des marchands en ligne, des organisations variées et dernièrement des opérateurs et même des agences gouvernementales. À chaque fois, les mêmes éléments sont récupérés par des groupes et organisations variés qui vont en faire commerce ou opérer avec.

J’entends souvent les utilisateurs râler après un vol de données. Pester – à juste titre – contre le partenaire qui a laissé une faille suffisante dans son système. Prestataire qui ne s’encombre souvent même pas d’excuses minimales d’ailleurs. Je ne vois toutefois pas grand monde faire quelque chose pour se prémunir d’une catastrophe. Je connais même des utilisateurs qui n’ont pas changé de mot de passe après avoir reçu l’information d’une fuite. Mot de passe qu’ils ont pourtant utilisé de manière identique sur des dizaines et des dizaines d’autres services. La problématique est connue, le commun des mortels n’a pas envie de changer ses habitudes pour chaque site. Même s’il sait pertinemment que c’est comme s’il écrivait le code d’ouverture de sa porte affiché sur sa maison. Un manque de courage dangereux mais dont certains font l’impasse.

L’idéal est comme toujours d’avoir une technique de mémorisation permettant de créer un mot de passe différent facilement pour chaque site ou d’utiliser une application de gestion de mot de passe multiplateforme. Ce n’est souvent pas gratuit (encore que KeePass soit libre, open source, léger et gratuit) mais c’est peu cher par rapport à un vol de données effectivement utilisé par un groupe mafieux. L’emploi d’un Passkey est également une solution très intéressante dans laquelle investir du temps.

Le vol de données bancaire est inquiétant

Si je vous parle de tout cela, c’est parce que la présence d’IBAN ou de RIB dans les dernières affaires de ce genre me rappelle une mésaventure qui m’est arrivée il y a quelques temps. Je n’ai jamais su d’où venait le problème, mais toujours est-il qu’un malandrin s’est retrouvé en possession de mes coordonnées personnelles et de mon IBAN. Et s’il avait été plus malin et moins gourmand, il aurait pu ponctionner mon compte pendant longtemps.

Je me suis rendu compte d’un souci avec mon compte bancaire suite à un débit de 120€ dont je n’avais absolument aucun souvenir. L’intitulé indiquait une formation étrange depuis un service tout aussi bizarre. Évidemment, j’ai mené ma petite enquête et je me suis rendu compte que depuis trois mois des débits du même genre apparaissaient dans mes relevés pour des montants de 9.90€.

En analysant mes relevés, je suis remonté jusqu’à un service de vente de formations en ligne, un site a priori légitime, exploité de manière tout à fait illégitime par des escrocs. Ce site permet de proposer des formations à n’importe qui, sur n’importe quel sujet. C’est juste une de ces fameuses plateformes de « mise en relation » entre divers acteurs. Plateforme qui prend bien sûr une commission au passage en tenant le rôle de tiers de confiance. Problème, cette plateforme n’a aucun moyen de vérifier si la formation est réelle et même si elle est simplement délivrée. 

Résultat, une formation peut très bien s’intituler « ENERGIE » ou « ASSURANCE » pour tromper les relevés. Et comme il est également très simple de savoir quel est le nom de votre établissement bancaire à partir de votre IBAN, un escroc peut parfaitement générer un intitulé autour de ce nom pour les faire passer pour des frais de gestion. Aucune limitation sur le nom de la formation n’est imposée et on peut choisir n’importe quel intitulé qui sera automatiquement lié avec le mois en cours dans votre relevé bancaire. Mais, le pire, c’est que le margoulin qui lance la formation bidon peut ensuite utiliser ce même site et vous créer un profil à votre nom, prénom et adresse, en changeant évidemment juste votre email pour le sien. Pour le paiement de la formation, rien de plus simple, il suffit d’entrer… votre RIB ou votre IBAN.

Voilà comment une personne peut commencer à prélever régulièrement des sommes sur votre compte de manière totalement anonyme et en proposant un intitulé discret si vous ne faites pas attention à votre compte. En se faisant simplement passer pour vous qui demandez un service en ligne. Et le vol de données bancaires complètes telles qu’on les rencontre aujourd’hui, peut grandement faciliter ces opérations.

C’est amusant cette iconographie du piratage non ? C’est devenu l’image d’illustration classique pour les histoires de vol de données. Comme si les voleurs éteignaient la lumière avant de pirater un serveur à plusieurs milliers de kilomètres de distance…

Contactée, ma banque a récupéré les sommes prélevées et a recrédité mon compte. Le problème est que si la personne qui avait récupéré mes informations et mon RIB avait été un peu plus précautionneuse, je n’aurais probablement pas fait attention à ces débits pendant des mois. Le temps pour cette personne de ponctionner mon compte et pour moi de perdre pas mal de sous.

La réglementation bancaire impose à toutes les banques de rembourser jusqu’à 13 mois après le prélèvement une opération de prélèvement de ce type effectuée sans autorisation validée de votre part. C’est-à-dire un prélèvement qui utilise simplement un RIB ou un IBAN sans une signature et un contrat. Techniquement, la banque n’a pas besoin de cette autorisation de prélèvement pour opérer. Et assez peu de banques vont réellement réclamer cette autorisation de manière systématique.

Surtout pour les petites sommes comme les prélèvements d’abonnements variés que nous avons tous. Pour autant, avec un intitulé de prélèvement qui peut changer de mois en mois, en modifiant simplement le nom de la prestation de formation ou avec un terme ressemblant à des prélèvements légitimes, la traque aux opérations frauduleuses peut s’avérer complexe et chronophage.

Un conseil donc, si votre RIB ou votre IBAN a fuité, n’hésitez pas à éplucher vos comptes de manière systématique pendant les mois qui viennent. Et traquez vos prélèvements d’un mois sur l’autre pour détecter toute anomalie. Et, si vous avez des proches qui ne font pas attention à ce genre de détails, n’hésitez pas à leur demander si vous pouvez jeter un coup d’œil à leurs comptes. Vous pourriez être surpris.

Vol de données, RIB et IBAN dans la nature, quels risques ? © MiniMachines.net. 2026

Suite au piratage du fichier FICOBA de la DGFiP annoncé le 18 février 2026, les coordonnées bancaires (IBAN) d'environ 1,2 million de contribuables se retrouvent compromises. Cette faille de sécurité majeure ouvre la porte à un risque bien précis : la fraude au prélèvement bancaire. Voici les bons réflexes à adopter dès aujourd'hui pour sécuriser votre compte et empêcher la mise en place de prélèvements SEPA non autorisés.