L’annonce est tombée comme un couperet : le pseudonyme HexDex, qui hantait la cybersphère française depuis décembre 2025, a désormais un visage et un état civil. Ce jeune homme, né en août 2004, a été interpellé lundi 20 avril en Vendée par les enquêteurs de la Brigade de lutte contre la cybercriminalité (BL2C).
Le suspect a été pris en flagrant délit alors qu’il « s’apprêtait à publier d’autres données » piratées, mettant fin à une série d’intrusions qui visaient aussi bien des ministères que des fédérations sportives, relate l’Agence France Presse (AFP).
Il revendiquait ses prises et les basculait sur des plateformes comme BreachForum ou Darkforum, spécialisées dans la revente de données volées, selon le parquet de Paris.
Un tableau de chasse tentaculaire
La section spécialisée du parquet de Paris a piloté l’enquête. HexDex est relié à plus d’une centaine de signalements. Son « palmarès » inclut le piratage de la base Compas du ministère de l’Éducation nationale, compromettant les données de 243 000 agents, mais aussi l’intrusion dans le Système d’information sur les armes (SIA), une cible particulièrement sensible.
Une multitude de fédérations (voile, athlétisme, rugby, ski) ainsi que des syndicats comme la CFDT et FO figurent également parmi ses victimes. Le matériel informatique saisi à son domicile est en cours d’exploitation pour déterminer l’étendue réelle des exfiltrations.
« Gagner de l’argent »
Interrogé par le site d’information spécialisé Zataz.com, HexDex ne cachait rien de ses motivations. Loin de tout activisme politique, il se décrivait comme « simplement quelqu’un qui gagne de l’argent illégalement et qui ressent une montée d’adrénaline à chaque intrusion ».
Pour lui, le vol de données était un pur business : « Tout ce que je fais sous la bannière HexDex a un objectif clair : gagner de l’argent ».
Cette absence de morale était sa marque de fabrique. À la question de savoir s’il s’imposait des limites, il répond sans détour à Zataz.com : « Aucune. Pour gagner de l’argent, je n’ai pas de limite ». Il estimait d’ailleurs que « les premiers responsables sont ceux qui ont laissé ces données exposées », rejetant la faute sur les victimes.
Un profil type dans le viseur de la justice
L’interpellation de HexDex s’inscrit dans une vague de répression visant de très jeunes hackers français. Depuis début 2026, plusieurs profils de 17 à 22 ans ont été mis en examen pour des faits similaires. HexDex risque désormais de lourdes sanctions. Selon le Code pénal français, l’accès frauduleux à un système (article 323-1) est puni de trois ans d’emprisonnement et 100 000 euros d’amende.
Cependant, avec la qualification de bande organisée et l’extraction de données sensibles, les peines peuvent dépasser les cinq ans de prison et 375 000 euros d’amende.
XX XX XX/a>.
