Mise à jour du 19/02/2026 : Suite au vol de données bancaires d’1.2 million de comptes annoncé par le ministère de l’Économie, la Direction générale des finances publiques indique un ensemble important d’informations. Dans ces éléments dérobés, on note la présence des coordonnées bancaires (RIB et IBAN, ainsi que l’identité du titulaire, son adresse et même parfois son identifiant fiscal. La même DGFIP indique que ces données ne permettent pas de consulter les soldes des comptes bancaires ni de faire des opérations. C’est vrai, en l’absence de mot de passe pour accéder aux comptes, la consultation de ceux-ci est impossible.
Reste qu’en croisant ces données avec d’autres et si vous utilisez le même mot de passe partout, cela devient très dangereux. Et, surtout, cela me rappelle la mésaventure que j’ai vécu en 2024. Je remonte donc ce billet des entrailles du blog. D’autant que vu le nombre de fuites récentes que recense le site Bonjourlafuite.eu.org, il devient possible de créer des intitulés de prélèvements extrêmement ciblés.
Billet original du 24/10/2024 : Depuis des mois, le vol de données est devenu un sujet récurrent. Ils se succèdent en France, chez des marchands en ligne, des organisations variées et dernièrement des opérateurs et même des agences gouvernementales. À chaque fois, les mêmes éléments sont récupérés par des groupes et organisations variés qui vont en faire commerce ou opérer avec.
J’entends souvent les utilisateurs râler après un vol de données. Pester – à juste titre – contre le partenaire qui a laissé une faille suffisante dans son système. Prestataire qui ne s’encombre souvent même pas d’excuses minimales d’ailleurs. Je ne vois toutefois pas grand monde faire quelque chose pour se prémunir d’une catastrophe. Je connais même des utilisateurs qui n’ont pas changé de mot de passe après avoir reçu l’information d’une fuite. Mot de passe qu’ils ont pourtant utilisé de manière identique sur des dizaines et des dizaines d’autres services. La problématique est connue, le commun des mortels n’a pas envie de changer ses habitudes pour chaque site. Même s’il sait pertinemment que c’est comme s’il écrivait le code d’ouverture de sa porte affiché sur sa maison. Un manque de courage dangereux mais dont certains font l’impasse.
L’idéal est comme toujours d’avoir une technique de mémorisation permettant de créer un mot de passe différent facilement pour chaque site ou d’utiliser une application de gestion de mot de passe multiplateforme. Ce n’est souvent pas gratuit (encore que KeePass soit libre, open source, léger et gratuit) mais c’est peu cher par rapport à un vol de données effectivement utilisé par un groupe mafieux. L’emploi d’un Passkey est également une solution très intéressante dans laquelle investir du temps.
Le vol de données bancaire est inquiétant
Si je vous parle de tout cela, c’est parce que la présence d’IBAN ou de RIB dans les dernières affaires de ce genre me rappelle une mésaventure qui m’est arrivée il y a quelques temps. Je n’ai jamais su d’où venait le problème, mais toujours est-il qu’un malandrin s’est retrouvé en possession de mes coordonnées personnelles et de mon IBAN. Et s’il avait été plus malin et moins gourmand, il aurait pu ponctionner mon compte pendant longtemps.

Je me suis rendu compte d’un souci avec mon compte bancaire suite à un débit de 120€ dont je n’avais absolument aucun souvenir. L’intitulé indiquait une formation étrange depuis un service tout aussi bizarre. Évidemment, j’ai mené ma petite enquête et je me suis rendu compte que depuis trois mois des débits du même genre apparaissaient dans mes relevés pour des montants de 9.90€.
En analysant mes relevés, je suis remonté jusqu’à un service de vente de formations en ligne, un site a priori légitime, exploité de manière tout à fait illégitime par des escrocs. Ce site permet de proposer des formations à n’importe qui, sur n’importe quel sujet. C’est juste une de ces fameuses plateformes de « mise en relation » entre divers acteurs. Plateforme qui prend bien sûr une commission au passage en tenant le rôle de tiers de confiance. Problème, cette plateforme n’a aucun moyen de vérifier si la formation est réelle et même si elle est simplement délivrée.
Résultat, une formation peut très bien s’intituler « ENERGIE » ou « ASSURANCE » pour tromper les relevés. Et comme il est également très simple de savoir quel est le nom de votre établissement bancaire à partir de votre IBAN, un escroc peut parfaitement générer un intitulé autour de ce nom pour les faire passer pour des frais de gestion. Aucune limitation sur le nom de la formation n’est imposée et on peut choisir n’importe quel intitulé qui sera automatiquement lié avec le mois en cours dans votre relevé bancaire. Mais, le pire, c’est que le margoulin qui lance la formation bidon peut ensuite utiliser ce même site et vous créer un profil à votre nom, prénom et adresse, en changeant évidemment juste votre email pour le sien. Pour le paiement de la formation, rien de plus simple, il suffit d’entrer… votre RIB ou votre IBAN.
Voilà comment une personne peut commencer à prélever régulièrement des sommes sur votre compte de manière totalement anonyme et en proposant un intitulé discret si vous ne faites pas attention à votre compte. En se faisant simplement passer pour vous qui demandez un service en ligne. Et le vol de données bancaires complètes telles qu’on les rencontre aujourd’hui, peut grandement faciliter ces opérations.

C’est amusant cette iconographie du piratage non ? C’est devenu l’image d’illustration classique pour les histoires de vol de données. Comme si les voleurs éteignaient la lumière avant de pirater un serveur à plusieurs milliers de kilomètres de distance…
Contactée, ma banque a récupéré les sommes prélevées et a recrédité mon compte. Le problème est que si la personne qui avait récupéré mes informations et mon RIB avait été un peu plus précautionneuse, je n’aurais probablement pas fait attention à ces débits pendant des mois. Le temps pour cette personne de ponctionner mon compte et pour moi de perdre pas mal de sous.
La réglementation bancaire impose à toutes les banques de rembourser jusqu’à 13 mois après le prélèvement une opération de prélèvement de ce type effectuée sans autorisation validée de votre part. C’est-à-dire un prélèvement qui utilise simplement un RIB ou un IBAN sans une signature et un contrat. Techniquement, la banque n’a pas besoin de cette autorisation de prélèvement pour opérer. Et assez peu de banques vont réellement réclamer cette autorisation de manière systématique.
Surtout pour les petites sommes comme les prélèvements d’abonnements variés que nous avons tous. Pour autant, avec un intitulé de prélèvement qui peut changer de mois en mois, en modifiant simplement le nom de la prestation de formation ou avec un terme ressemblant à des prélèvements légitimes, la traque aux opérations frauduleuses peut s’avérer complexe et chronophage.
Un conseil donc, si votre RIB ou votre IBAN a fuité, n’hésitez pas à éplucher vos comptes de manière systématique pendant les mois qui viennent. Et traquez vos prélèvements d’un mois sur l’autre pour détecter toute anomalie. Et, si vous avez des proches qui ne font pas attention à ce genre de détails, n’hésitez pas à leur demander si vous pouvez jeter un coup d’œil à leurs comptes. Vous pourriez être surpris.
| 2,5€ par mois | 5€ par mois | 10€ par mois | Le montant de votre choix |





Ca doit dépendre des banques. La mienne ne s’oppose pas à un prélèvement SEPA mais me prévient systématiquement s’il s’agit d’un premier prélèvement.
Cependant je m’interroge : on parle de vol d’IBAN mais je me demande si ça ne cache pas aussi le vol des informations associées au mandat SEPA (le RUM notamment). Je vois que le mandat inclut les coordonnées du créancier mais je ne sais pas s’il inclut aussi l’IBAN du créancier. Si ce n’est pas le cas, le vol des mandats représenteraient un danger encore plus grand car encore moins visible, non ?
Bon message de rappel à la prudence et à l’épluchage des prélèvements.
Pour ma part, je conseille de créer un compte gratuit chez protonmail, et d’utiliser ensuite Protonpass, qui synchronise PC, portables, … vraiment très simple et bien chiffré.
Je n’utilise plus que ça pour les mdp ainsi que les alias sur les sites où j’ai des doutes ^^
Merci pour l’info Pierre, on va être plus vigilant…
@mahikeulbody: Je ne sais pas exactement ce qui a fuité mais on est certain que l’IBAN complet est dans la nature pour certaines fuites. Ce qui pose un petit soucis puisque les méthodes de prélèvement de ce type sont disponibles.
Petit article pour montrer l’ampleur du désastre :
https://www.challenges.fr/cybersecurite/c-est-absolument-enorme-que-sait-on-de-la-fuite-massive-de-donnees-qu-aurait-subie-free_909104
Le listing :
https://breachforums.st/Thread-SELLING-Free-SAS-Data-Breach-19-2M-Records-5-11M-Bank-Info-France
A quoi cela sert-il d’avoir créé un mandat de prélèvement SEPA si c’est pour passer outre ?
Favoriser le business, réduire les effectifs de contrôle au sein des banques afin de gagner 3 francs 6 sous ?
Qui trinque ? Toujours le même !
Autre phénomène très pénalisant et dont les banques se moquent éperdument : les abonnements souscrits via carte bancaire.
C’est très difficile à supprimer face à des margoulins qui vous baladent et une banque ayant toujours la réponse facile (mais ça se combat) : « fallait pas utiliser votre CB. »
Une solution simple : utiliser paypal (qui permet de cocher et décocher indivuduellement les prélèvements) ou changer de banque.
db
Salut Pierre, dans certaines banques, on peut créer une liste blanche qui verouille les organismes autorisés à prélever.
Exemple, pour le crédit mutuel cela se fait dans l’interface web du sociétaire. Pour boursobank, il faut voir cela directement avec un conseiller clientèle.
Juste un rectificatif important: le délai de 13 mois est ramené à 70 jours lorsque l’établissement du bénéficiaire du paiement se situe en dehors de l’Union européenne ou de l’Espace économique européen (cf. Banque de France).
C’est vraiment casse bonbons cette histoire de vol d’iban. Déjà depuis Ledger j’ai nom, prenom, adresse et téléphone qui se balade, maintenant l’iban.
Après ton article j’ai vérifié. Faudrait que je pense a vérifier plus souvent.
@@Pascal M: Merci pour l’info pour le Credit Mutuel
C’est effectivement rassurant de voir qui peut prélever et de pouvoir bannir au cas où un intrut passe par là
C’est au tour de free de perdre des iban.
Par contre, je n’ai pas vu si c’est free mobile ou free.
Dans mon cas j’ai remarque un prélèvement de 66 euros (Free téléphone) le 18/10. J’avais pourtant déjà été prélevé début octobre!
@B Dh : les deux ! (d’après leur propre mail)
Merci pour cet article !
Intéressant, il y a en effet de quoi se faire avoir même en faisant des contrôles rapides de ses prélèvements
Ca doit être en place depuis longtemps ! Je suis souvent à 0 € le 4 du mois ! Enfin une explication ! T_T
Article intéressant
Pour ma part j’utilise Bitwarden en tant que gestionnaire de mots de passes. Gratuit, open source, il peut même s’exécuter en local si on n’a pas confiance dans la base en ligne. Simple et efficace. Un seul mot de passe (très complexe pour ma part) à retenir. Et hop le tour est joué.
Mais dernièrement depuis le piratage d’un FAI bien connu, je constate une recrudescence de SMS ciblés (nom et adresse) d’arnaques à la fausse livraison ! Pour le coup, je suis content de les avoir quitté depuis 4 mois. Au moins je ne leur file plus mon pognon !
@Pascal M: Puisque le billet remonte, et si je ne dis pas de bêtises, les banques françaises ont depuis au moins la mi-2025 l’obligation de mettre en place une liste blanche. Et c’est au moins le cas à la caisse d’épargne et au crédit mutuel (étant chez eux avec ma femme), ceci étant activé automatiquement. Donc, bien vérifier que vous avez une liste blanche (ça prend 2 min ne cherchant), de préférence vide, et vous n’aurez pas de souci.
Cela n’empêchera pas l’ingénierie sociale, mais au moins, un sacré problème de réglé.
Merci pour la màj Pierre…
Mais comme quoi, censure partout sécurité nulle part…
Si votre banque valide un virement SEPA sans vérifier la fiabilité du demandeur sachez que vous avez quelque chose comme 13 mois pour demander un remboursement, la banque EST OBLIGEE DE REMBOURSER.
@Gaduc C’est un peu dommage de conseiller une solution états-unienne alors qu’il y a des banques françaises qui permettent la même chose.
Le mandat de prélèvement est un contrat de prélèvement entre vous et une entité. Une fois signé, il prouve que vous avez donné votre accord. Dans le passé, les banques avaient copie de ce mandat et se chargeaient de contrôler qu’un prélèvement était bien adossé à un mandat. Malheureusement la loi a supprimé cette charge pour les banques. En compensation, elle permet d’annuler (et donc d’être remboursé par votre banque) tout prélèvement dans un délai assez confortable (jusqu’à plusieurs mois selon les cas). A charge pour le créditeur de contester en justice cette annulation (ce n’est pas le problème de la banque).
Certaines banques préviennent même avant le premier prélèvement d’un mandat qu’elles n’ont pas encore vue passer, permettant ainsi de le bloquer avant qu’il ait lieu. Elles permettent aussi de gérer des listes blanches et/ou des listes noires de mandats.
@spokenman: Oui, c’est ce qui est expliqué dans le billet.
@mahikeulbody: Paypal est disponible sur de très nombreux sites marchand et sert de tiers de confiance, mes coordonnées bancaires restent inconnues du site marchand, ça limite les impacts si ce dernier voit ses données volées, toutes les bases de données ne sont pas GDPR-compliant et donc cryptées…
Les solutions franco/européennes sont probablement bien mais seulement quand elles sont disponibles 😢 mon chauvinisme s’arrête là où la réalité commence…
Toutes les banques ne proposent même pas les CB virtuelles… et bien même si j’en dispose, je trouve Paypal finalement plus simple et rapide, la fainéantise gagne…
Contrôler ses comptes tous les mois. Perso je note dans un fichier Excel toutes mes dépenses, j’y ai noté les dépenses récurrentes (prélèvements connus, dépenses régulières comme les courses, les entretiens chaudière, jardinage,…) pour une année complète en avance. En « cross-checkant » ce fichier avec le relevé de compte il est facile de repérer les intrus ou le plus souvent les oublis.
Piloter son budget permet de prévoir quand et de quelles liquidités on disposera pour faire des travaux ou des voyages.
Pour les mots de passe, même système excel, mais dans un disque chiffré non en ligne. je peux vérifier si j’utilise les mêmes passwords sur des sites différents et à quelle date il serait prudent de les changer. Ce n’est pas forcement le plus pratique mais à la retraite j’ai le temps.
Bizarrerie constatée au travers de ce fichier: Firefox m’a suggéré 2 fois le même password pour 2 sites différents => Je pense que l’algorithme n’est pas complètement aléatoire !
Bon weekend à tous et merci Pierre pour ce rafraichissement de mémoire.
Merci Pierre pour ce rappel sanitaire