Cyberattaque banque : DDoS sur La Banque Postale, malware clients et vraies protections en 2026
Entre le 22 décembre 2025 et le 5 janvier 2026, les sites et applications de La Banque Postale sont devenus inaccessibles pour des milliers de clients. Une cyberattaque banque de type DDoS, massive, revendiquée par le collectif hacktiviste pro-russe NoName057(16). Des pics à plus de 366 Gbps, des milliards de requêtes malveillantes par seconde. Le groupe La Poste a mobilisé 400 experts cyber en pleine période de fêtes, basculé sur des infrastructures de secours et coordonné avec la gendarmerie. Résultat : le cœur des systèmes bancaires est resté intact. Aucune donnée n’a fuité. Aucune intrusion. Les paiements par carte, les retraits aux distributeurs et des solutions alternatives ont continué de fonctionner. Les bureaux de poste ont assuré l’essentiel.
À peu près au même moment, les clients du groupe BPCE (Caisse d’Epargne, Banque Populaire, Crédit Coopératif) ont eux aussi rencontré des difficultés d’accès à leurs applications et sites. Certains médias ont parlé de cyberattaque coordonnée. D’autres ont évoqué un dysfonctionnement chez un prestataire technique. Dans les deux cas, l’impact est resté limité aux canaux numériques grand public.
DDoS contre les banques : paralyser l’accès, pas vider les comptes
Ce type d’attaque vise à saturer les serveurs publics avec un déluge de trafic factice. Le site rame ou tombe. L’application ne répond plus. Mais les systèmes internes, les bases de données clients, les moteurs de paiement restent hors de portée. C’est exactement ce qui s’est passé chez La Banque Postale. L’attaque n’a jamais franchi la couche d’accès internet. Zakaria Moursli, en charge de la réponse, l’a résumé clairement : le cœur du système est resté « pleinement opérationnel et totalement inviolé ».
Ces opérations coûtent cher aux attaquants en bande passante et en coordination. Elles servent souvent à faire du bruit, à tester les défenses ou à créer de la confusion pendant les périodes de forte activité (Noël, soldes). Elles ne rapportent pas directement d’argent. C’est pour ça qu’on les distingue des vraies intrusions ou des campagnes de fraude qui ciblent directement les comptes.
Le vrai risque pour la plupart des clients : malware et phishing sur leurs propres appareils
Beaucoup de titres parlent de « cyberattaque banque » alors qu’il s’agit en réalité d’une compromission côté client. Fin 2024, la Fédération Bancaire Française avait déjà dû clarifier ce point après une vague de signalements. Des malwares Android comme DroidBot visaient les applications de plusieurs établissements (BNP Paribas, Crédit Agricole, Caisse d’Epargne, Boursorama…). L’utilisateur installe quelque chose de louche, pensant à une mise à jour ou un outil pratique, et le logiciel malveillant intercepte les identifiants, les codes de validation ou initie des opérations.
Dans ces scénarios, la banque n’est pas « piratée ». C’est le téléphone ou l’ordinateur du client qui l’est. Et ça change la donne pour la détection et la responsabilité. Le phishing par SMS ou mail qui imite la banque reste aussi très efficace : on vous demande de « sécuriser votre compte » ou de valider une opération que vous n’avez pas faite. Un clic et c’est parfois trop tard.
Fuites via les prestataires : la chaîne d’approvisionnement sous tension
Un autre front s’est ouvert ces dernières années. En février 2025, la plateforme Harvest, utilisée par de nombreux acteurs financiers, a subi une attaque. Des données clients de BPCE et d’autres établissements ont été exposées. Plus récemment, des accès illégaux à des fichiers comme FICOBA ont mis en circulation des milliers de RIB et d’IBAN. Ces incidents ne sont pas toujours des « cyberattaques banque » directes, mais ils montrent à quel point la numérisation a multiplié les intermédiaires : éditeurs de logiciels, clouds, fintechs, prestataires de maintenance…
Une faille chez l’un d’eux et c’est tout un pan de l’écosystème qui peut être touché. Les banques françaises font partie des plus matures en Europe sur la cybersécurité, mais elles dépendent d’un réseau de partenaires de plus en plus dense. C’est précisément pour ça que le règlement européen DORA, entré en application en janvier 2025, renforce les exigences sur la gestion des risques tiers et les tests de résilience.
Remboursement des fraudes : ce que la loi impose vraiment
Quand des opérations non autorisées passent sur un compte, la banque doit rembourser. C’est l’article L133-18 du Code monétaire et financier, issu de la directive européenne sur les services de paiement. Le remboursement doit intervenir rapidement, souvent le jour même ou au plus tard le premier jour ouvrable suivant la contestation. La banque ne peut refuser que si elle prouve une négligence grave du client : partager ses codes, ne pas sécuriser son appareil, ignorer des alertes répétées…
Dans la pratique, pour les cas classiques de phishing où l’authentification forte n’a pas été correctement contournée par la faute du client, le remboursement arrive dans la grande majorité des situations. Il faut signaler l’incident sans attendre, via les canaux officiels de la banque, et idéalement déposer plainte sur la plateforme Perceval de la gendarmerie. Certaines banques demandent le récépissé, même si ce n’est pas une obligation légale pour déclencher le processus.
Comment savoir si votre compte a été touché
Les signaux sont souvent clairs quand on les regarde :
- Des virements ou des paiements que vous ne reconnaissez pas dans l’historique.
- Des alertes SMS ou push pour des connexions depuis un appareil ou un pays inconnu.
- Une impossibilité de vous connecter alors que votre mot de passe est correct.
- Des modifications d’adresse email, de numéro de téléphone ou d’ajout de bénéficiaires que vous n’avez pas demandées.
Dans ces cas, ne paniquez pas mais agissez vite. Connectez-vous depuis un appareil de confiance sur le site officiel (vérifiez toujours l’URL). Contactez le service client par le numéro inscrit sur votre carte ou sur l’application officielle. Demandez le blocage de la carte si des débits suspects apparaissent. Changez ensuite tous les accès depuis un terminal sain.
Ce que font les banques et ce que vous pouvez faire de votre côté
Les grands établissements investissent des dizaines de millions chaque année : segmentation des réseaux comme dans un sous-marin, redondance géographique, équipes de réponse 24/7, tests d’intrusion réguliers. Depuis DORA, ils doivent cartographier leurs prestataires critiques et démontrer leur capacité à absorber les chocs. L’ACPR et l’ANSSI suivent l’ensemble du secteur de près.
Côté client, les gestes restent simples et efficaces. Mettez à jour système et applications sans délai. Utilisez la biométrie quand elle est proposée plutôt que des codes seuls. Ne cliquez jamais sur un lien reçu par SMS ou mail qui prétend venir de votre banque. Vérifiez systématiquement l’adresse dans la barre du navigateur. Évitez d’installer des applications bancaires sur des téléphones rootés ou avec des sources tierces. Et surveillez vos comptes une fois par semaine : c’est souvent le détecteur le plus fiable.
Les cyberattaques banque font la une parce qu’elles touchent à quelque chose d’essentiel. Mais les incidents récents en France montrent aussi une certaine résilience des infrastructures critiques : les DDoS paralysent l’accès, pas les comptes. Les vraies pertes viennent encore trop souvent d’une compromission côté utilisateur ou d’une faille chez un prestataire. Comprendre cette différence, c’est déjà réduire le stress et mieux orienter sa vigilance. La menace évolue, les défenses aussi. Reste à chacun de garder les bons réflexes au quotidien.