Skip to main content

HexDex fuite de données : Le hacker derrière les cyberattaques d’institutions publiques, arrêté en Vendée

22 avril 2026

Le 20 avril 2026, la Brigade de Lutte contre la Cybercriminalité (BL2C) a interpellé en Vendée un jeune homme d’une vingtaine d’années, né en août 2004, connu sous le pseudonyme « HexDex ». Il est soupçonné d’être à l’origine d’une vague sans précédent de violations de données ciblant des dizaines d’organismes publics et privés français.

 

hexdex-fuite-de-donnees-cybercriminalite-france-avocat-belhaouci

 

Comme pour la fuite de données ANTS qui a exposé 19 millions de Français la même semaine, l’affaire Hexdex illustre que la cybercriminalité n’est pas une zone de non-droit.

Dans cet article, on va voir :

  1. Qui est HexDex et comment opérait-il ?
  2. Quelles organisations a-t-il ciblées ?
  3. Quelles infractions pénales lui sont reprochées ?
  4. Quelles peines encourt-il ?
  5. Que peuvent faire les victimes ?

 

1. Qui est HexDex et comment opérait-il ?

HexDex se décrit comme un « cartographe clandestin de la France numérique ». Son modèle opératoire est simple et industriel : infiltrer des systèmes aux sécurités défaillantes, exfiltrer des bases de données, les indexer, puis les revendre sur des plateformes spécialisées du darknet — principalement Breachforum et Darkforum.

Pas d’idéologie, pas d’activisme. Son objectif assumé, confié à ZATAZ : « Tout ce que je fais sous la bannière HexDex a un objectif clair : gagner de l’argent, sans aucune limite éthique. » Il se décrit lui-même comme exploitant un « écosystème industriel » : il analyse, indexe et revend les données au détail à des acheteurs qui les revendent à leur tour.

L’affaire a débuté le 19 décembre 2025, lorsque la section de lutte contre la cybercriminalité du parquet de Paris (J3) a reçu une centaine de signalements liés à des exfiltrations massives. Pendant plusieurs mois, HexDex a opéré méthodiquement — ciblant des structures aux protections insuffisantes, récoltant des millions de profils.

Son arrestation, le 20 avril 2026, est survenue alors qu’il s’apprêtait à publier de nouvelles données volées. La BL2C, la section J3 du parquet de Paris et l’Office français de lutte contre la cybercriminalité (OFAC) ont piloté conjointement la traque.

 

2. HexDex fuite de données : quelles organisations a-t-il ciblées ?

Le spectre des victimes présumées est particulièrement large. Parmi les organismes identifiés figurent :

  • Fédérations sportives nationales : voile, athlétisme, rugby à 13, ski, gymnastique, canoë-kayak, handisport — une quinzaine au total.
  • Structures publiques : préfecture de Moselle, Agence nationale de la cohésion des territoires, Système d’Information sur les Armes.
  • Police nationale : la plateforme de formation en ligne e-campus a été piratée les 17 et 18 mars 2026. HexDex revendique avoir consulté les noms, prénoms, adresses de résidence et emails de 176 317 profils d’agents actifs — policiers, gendarmes et personnel civil du ministère de l’Intérieur. La DGPN a attendu un mois avant de prévenir les victimes.
  • Syndicats : CFDT, FO.
  • Établissements culturels et hôteliers : la Philharmonie de Paris, entre autres.
  • Entreprises privées : Synlab France (161 Go de données de santé, 327 millions de lignes), ainsi que d’autres structures dont les noms n’ont pas tous été rendus publics.

À noter. HexDex n’est pas officiellement lié à la fuite de données ANTS du 15 avril 2026, revendiquée par un acteur distinct se faisant appeler « breach3d ». Ce sont deux affaires séparées.

 

3. Quelles infractions pénales sont potentiellement en jeu ?

L’enquête a été ouverte pour atteintes à un système de traitement automatisé de données (STAD), sur le fondement des articles 323-1 et suivants du Code pénal — dits « loi Godfrain » du 5 janvier 1988.

1. Article 323-1 — Accès ou maintien frauduleux

Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système informatique sans autorisation. La jurisprudence retient une conception large : exploitation d’une faille, contournement d’une authentification, utilisation d’identifiants volés.

2. Article 323-3 — Extraction et transmission frauduleuse de données

L’article 323-3, élargi par la loi du 24 juillet 2015, couvre l’extraction, la détention, la reproduction, la transmission ou la modification frauduleuse de données. C’est l’infraction centrale dans les affaires d’exfiltration de bases de données — le cœur du mode opératoire d’HexDex.

3. Article 321-1 — Recel de données volées

Lorsque les données sont revendues, diffusées ou exploitées commercialement, les faits peuvent être requalifiés en recel de données issues d’un piratage. Cette qualification s’applique à l’ensemble de la chaîne de revente sur le darknet.

4. Article 223-1-1 — Mise en danger des forces de l’ordre

La publication des données personnelles de policiers actifs — noms, adresses, emails — peut entraîner des poursuites au titre de la mise en danger de la vie d’autrui (art. 223-1-1 CP). Cette infraction a été introduite pour protéger les agents des forces de l’ordre dont l’identité est exposée publiquement.

5. La circonstance aggravante de bande organisée

Si plusieurs individus ont agi de concert dans un groupe structuré, la qualification de bande organisée peut être retenue. Elle double les peines applicables et renforce significativement la réponse pénale.

 

4. Quelles peines encourt-il ?

Le tableau des peines applicables selon les qualifications retenues :

 

Infraction        Article Peine maximale
Accès frauduleux à un STAD 323-1 3 ans · 100 000 €
Extraction frauduleuse de données 323-3 5 ans · 150 000 €
Recel de données volées 321-1 5 ans · 375 000 €
Mise en danger des forces de l’ordre 223-1-1 Variable selon le préjudice
Infractions en bande organisée 323-4-1 Jusqu’au double des peines ci-dessus

Des peines complémentaires peuvent s’ajouter : interdiction d’exercer une activité professionnelle en lien avec l’informatique, confiscation du matériel, interdiction de gérer une entreprise.

La loi Godfrain prévoit également des circonstances aggravantes spécifiques lorsque les systèmes visés concernent des services de l’État, des infrastructures critiques ou des données de santé — ce qui est le cas dans plusieurs attaques reprochées à HexDex.

 

5. Victime de cyberattaque HexDex : que faire ?

1. Les organisations victimes

  • Notification à la CNIL — délai de 72 heures. Toute organisation dont les données ont été exfiltrées est légalement tenue de notifier la CNIL dans les 72 heures suivant la découverte de la violation (art. 33 RGPD). Une notification tardive ou incomplète constitue elle-même une infraction au RGPD, susceptible de sanctions supplémentaires.
  • Dépôt de plainte. La plainte peut être déposée directement auprès du parquet de Paris, compétent pour les affaires de cybercriminalité d’envergure nationale. Les organisations peuvent également se constituer partie civile dans la procédure en cours, ce qui leur ouvre le droit à réparation devant la juridiction de jugement sans engager une procédure séparée.
  • Préservation des preuves numériques. Avant toute mesure corrective technique — réinstallation de systèmes, suppression de logs — il est essentiel de sécuriser les preuves : logs d’accès, captures d’écran, emails de notification, communications internes. Les preuves numériques sont fragiles et leur disparition peut compromettre la procédure.

 

2. Les particuliers dont les données ont été exposées

  • Vérification de l’exposition. Contrôlez si votre adresse email figure dans des bases compromises via HaveIBeenPwned.
  • Mesures immédiates. Changez vos mots de passe sur tous les services concernés. Activez la double authentification (2FA) sur votre email et vos comptes sensibles. Signalez tout message suspect sur signal-spam.fr ou au 33700 pour les SMS.
  • Droit à indemnisation. Le RGPD reconnaît un droit à indemnisation pour tout préjudice subi du fait d’une violation de données — y compris le préjudice moral (anxiété, sentiment de violation de la vie privée) même en l’absence de fraude concrète. Ce droit peut être exercé contre l’organisation responsable du traitement dont les données ont été exfiltrées.
  • Porter plainte. Tout particulier dont les données ont été volées peut déposer plainte auprès du parquet ou de la gendarmerie/police locale, en référençant les articles 323-1 et suivants du Code pénal. Une plainte individuelle renforce le dossier collectif.

 

HexDex Fuite de données : ce que cette affaire révèle sur la cybercriminalité en France

L’arrestation d’HexDex s’inscrit dans une dynamique judiciaire plus large. En 2026, la France a subi une multiplication sans précédent d’attaques visant ses infrastructures publiques et privées. La BL2C et la section J3 du parquet de Paris ont significativement renforcé leurs capacités d’investigation numérique.

L’affaire rappelle deux réalités que les organisations ignorent souvent. Premièrement, l’anonymat du darknet n’est pas absolu — HexDex a été identifié, localisé et interpellé malgré des mois d’activité sous pseudonyme et l’utilisation de plateformes criminelles réputées. Ensuite, une faille basique suffit – comme dans l’affaire ANTS, l’exploitation ne nécessite pas de compétences exceptionnelles lorsque les systèmes ne sont pas correctement sécurisés.

Close Menu
CONTACT