La police arrête le pirate de 21 ans HexDex, suspect d'une centaine de violations de données

Un homme de 21 ans, soupçonné d'être à l'origine d'une centaine de violations de données depuis fin 2025 – dont le piratage du ministère français de l'Éducation nationale ayant exposé les dossiers de près de 250 000 employés – a été arrêté à son domicile dans l'ouest de la France.

Selon le parquet, l'homme s'apprêtait à diffuser en ligne une nouvelle série de données volées au moment de son arrestation, le 20 avril. Il a reconnu utiliser le pseudonyme « HexDex » sur internet.

L'enquête policière a débuté le 19 décembre dernier, lorsque la brigade de lutte contre la cybercriminalité du parquet de Paris a reçu une centaine de signalements d'exfiltration de données, tous apparemment liés au même individu.

L'homme a depuis été mis en examen pour six chefs d'accusation, dont quatre avec la circonstance aggravante de participation à une bande organisée, et placé en détention provisoire.

Dans une interview accordée avant son arrestation, HexDex aurait déclaré que sa motivation était purement financière.

Parmi les victimes présumées d'HexDex figurent :

• Le ministère français de l'Éducation nationale, où il aurait compromis Compas, le système de gestion des stagiaires, exposant ainsi les noms, adresses, numéros de téléphone et relevés d'absences d'environ 243 000 employés.
• La SIA, le registre national des armes à feu.
• La plateforme de formation en ligne de la police nationale française.
• Les syndicats CFDT et FO.
• La Philharmonie de Paris.
• De nombreuses fédérations sportives françaises : voile, athlétisme, sports mécaniques, gymnastique, ski, rugby à XIII, aïkido, sport universitaire, alpinisme, football américain, randonnée, aéronautique, canoë-kayak, handisport et savate.
• Les banques alimentaires françaises.
• Les chaînes hôtelières Logis Hôtels France et Brit Hotel.

Les données volées auraient été republiées sur les plateformes de cybercriminalité BreachForums. Sur DarkForums, son compte affiche désormais un message indiquant qu'il a été « saisi ».

Bien qu'HexDex ait été lié à de nombreuses fuites de données, les autorités françaises ont insisté sur le fait qu'il n'est pas soupçonné d'être responsable de la récente violation du portail ANTS, qui aurait exposé les données de près de 12 millions d'utilisateurs.

Si la police française a effectivement arrêté le véritable coupable, il est frappant de constater que ces violations ne sont pas l'œuvre d'un groupe parrainé par un État ou d'une équipe de ransomware sophistiquée. Il peut s'agir parfois simplement d'un jeune homme travaillant à domicile, explorant méthodiquement les organisations dont les systèmes sont mal sécurisés.

Le nombre de violations (environ quatre par semaine, pendant des mois) illustre la triste réalité : même en 2026, de nombreux systèmes accessibles sur Internet présentent encore une authentification faible, voire inexistante, des vulnérabilités non corrigées et des mots de passe par défaut faciles à deviner. Les organisations feraient bien de prendre conscience de l'importance de systèmes de sécurité plus performants, avec une authentification multifacteurs. L'authentification multifacteur (MFA), la mise à jour régulière des réseaux et des applications, des contrôles d'accès robustes et un plan de réponse aux incidents éprouvé sont essentiels.

Pour chaque entreprise HexDex qui finit par recevoir la visite de la police, il y en a malheureusement beaucoup d'autres qui continuent leurs activités illégales. La meilleure façon d'éviter que votre organisation ne soit la prochaine cible des pirates informatiques est de se rendre moins vulnérable que ses concurrents.