Piratage

Mon IBAN a fuité : vrais risques et comment se protéger

14 avril 2026· Mis à jour le 15 avril 202610 min de lectureIBAN fuité

Après les piratages de Free, SFR, Viamedis, Almerys... des millions d'IBAN circulent sur le dark web. Vous avez reçu un email vous informant que vos données ont fuité, ou vous avez vu passer l'information dans les médias. La question est simple : quels sont les vrais risques ?

Ce guide fait le tri entre les risques réels et les fantasmes, et vous donne les actions concrètes pour protéger votre compte.

Ce qu'on peut faire avec un IBAN (et ce qu'on ne peut pas)

Ce qu'un escroc NE PEUT PAS faire avec votre IBAN

  • Vider votre compte : un IBAN ne permet pas de faire un virement sortant. Pour cela, il faudrait accéder à votre espace bancaire en ligne (identifiant + mot de passe + validation 2FA).
  • Faire des achats en ligne : les paiements en ligne nécessitent un numéro de carte bancaire, pas un IBAN.
  • Retirer de l'argent : aucun distributeur n'accepte un IBAN.

Ce qu'un escroc PEUT faire avec votre IBAN

  • Créer un mandat de prélèvement SEPA frauduleux : c'est le risque principal. Un escroc peut enregistrer votre IBAN comme débiteur et initier des prélèvements réguliers (abonnements fictifs, services inexistants).
  • Renforcer une usurpation d'identité : votre IBAN combiné avec votre nom, votre adresse et votre date de naissance constitue un dossier crédible pour ouvrir des comptes ou souscrire des crédits à votre nom.
  • Monter un phishing ciblé : un message qui cite les derniers chiffres de votre vrai IBAN est beaucoup plus convaincant qu'un phishing générique.

Comment fonctionne un prélèvement SEPA frauduleux

Quand vous signez un mandat de prélèvement (pour votre loyer, votre assurance, votre abonnement téléphonique), vous autorisez un créancier à prélever de l'argent sur votre compte. En théorie, ce mandat est un contrat entre vous et le créancier.

En pratique, le système SEPA fonctionne sur la confiance. Quand un créancier présente un ordre de prélèvement à votre banque, celle-ci l'exécute sans vérifier que vous avez réellement signé le mandat. La vérification se fait a posteriori, si vous contestez.

C'est cette faille que les escrocs exploitent. Ils créent une société fictive, enregistrent votre IBAN comme débiteur, et initient des prélèvements. Votre banque exécute l'ordre. Vous ne le découvrez qu'en consultant vos relevés.

Les prélèvements frauduleux sont souvent de petits montants (5, 10, 20 euros) pour rester sous le radar le plus longtemps possible.

Les piratages récents : Free, SFR et les autres

Piratage Free (octobre 2024)

19 millions de comptes clients compromis, dont 5 millions avec leur IBAN. Données exposées : nom, prénom, email, téléphone, adresse postale, date de naissance, IBAN. C'est la plus grande fuite de coordonnées bancaires en France.

Piratage SFR, Viamedis, Almerys

D'autres fuites massives ont exposé des données similaires. Le problème est cumulatif : les bases de données volées se recoupent entre elles sur le dark web, permettant de constituer des profils d'usurpation de plus en plus complets.

Les signes que votre IBAN est utilisé frauduleusement

Surveillez ces signaux d'alerte :

  • Prélèvements inconnus sur vos relevés bancaires, même de petits montants
  • Courriers d'organismes que vous ne connaissez pas : confirmations d'abonnement, relances de paiement, mises en demeure
  • Notifications de votre banque pour de nouveaux mandats de prélèvement que vous n'avez pas autorisés
  • Emails ou SMS inhabituels mentionnant des services auxquels vous n'êtes pas inscrit

Si vous repérez l'un de ces signes, agissez immédiatement.

Comment se protéger concrètement

1. Mettez en place une liste blanche de créanciers

Certaines banques proposent de n'autoriser que les prélèvements de créanciers que vous avez explicitement approuvés. Tout prélèvement d'un créancier non listé est automatiquement rejeté. Renseignez-vous auprès de votre banque.

2. Activez les alertes sur les nouveaux mandats

Configurez votre banque pour recevoir une notification à chaque nouveau mandat de prélèvement enregistré sur votre compte (SMS, email ou notification push).

3. Listez vos mandats de prélèvement existants

Connectez-vous à votre espace bancaire et consultez la liste de tous les mandats SEPA actifs. Notez-les : ce sont vos prélèvements légitimes. Tout nouveau mandat que vous n'avez pas autorisé est suspect.

4. Surveillez vos relevés pendant 13 mois

Pourquoi 13 mois ? C'est le délai légal pendant lequel vous pouvez contester un prélèvement SEPA non autorisé. Vérifiez vos relevés au moins une fois par semaine pendant les premiers mois, puis une fois par mois ensuite.

5. Contestez tout prélèvement inconnu

La réglementation SEPA vous protège :

  • Dans les 8 semaines : votre banque est obligée de vous rembourser, sans condition
  • Entre 8 semaines et 13 mois : vous pouvez contester si vous prouvez que le prélèvement n'était pas autorisé

Passé ces délais, il sera beaucoup plus difficile d'obtenir un remboursement.

6. Méfiance absolue sur les emails et SMS

Après un piratage, les campagnes de phishing explosent. Règles à suivre :

  • Ne cliquez sur aucun lien dans un email prétendant venir de votre opérateur ou de votre banque
  • Vérifiez l'adresse de l'expéditeur
  • Ne communiquez jamais d'informations sensibles par email
  • Signalez tout message suspect sur signal-spam.fr ou par SMS au 33700

Faut-il changer d'IBAN ?

Changer d'IBAN est possible mais contraignant : il faut mettre à jour tous vos prélèvements (loyer, assurances, abonnements, impôts...).

Quand changer d'IBAN est recommandé :

  • Vous constatez des prélèvements frauduleux récurrents malgré vos contestations
  • Votre banque ne propose pas d'alertes sur les nouveaux mandats
  • Vous avez subi d'autres fuites et votre profil est très exposé

Dans la plupart des cas, une surveillance active et les alertes suffisent.

Le fond du problème : le stockage en clair

Chaque piratage a le même scénario : une entreprise stocke vos données personnelles de manière accessible, un attaquant trouve une faille, et des millions de dossiers se retrouvent dans la nature.

Le chiffrement de bout en bout résout ce problème à la racine. Avec un service comme KeyDoc, vos documents sont chiffrés sur votre appareil avant d'être envoyés. Même si le serveur est piraté, les données récupérées sont illisibles — une suite de caractères aléatoires sans aucune valeur pour un attaquant.

Ressources utiles

En résumé

Un IBAN fuité ne permet pas de vider votre compte, mais il ouvre la porte aux prélèvements SEPA frauduleux et renforce les risques d'usurpation d'identité quand il est combiné à d'autres données personnelles.

Les bons réflexes : liste blanche de créanciers, alertes sur les nouveaux mandats, vérification régulière des prélèvements, contestation dans les délais (13 mois pour un prélèvement non autorisé, 8 semaines pour un remboursement inconditionnel).

Pour éviter que vos données sensibles se retrouvent dans la nature, le réflexe est simple : ne les transmettez que par un canal chiffré de bout en bout.

Articles connexes

Piratage

Piratage France Travail : vos données sont dans la nature, comment réagir

Post-incident

J'ai envoyé ma carte d'identité à un arnaqueur : que faire ?

Protégez vos documents sensibles

Créez un espace chiffré de bout en bout en 30 secondes. Gratuit.

Commencer gratuitementComment ça marche ?
Essayer KeyDoc