Une centaine de piratages revendiqués, des bases de données de la CFDT, de l’Éducation nationale, d’une plateforme de formation de la police nationale et même de la Philharmonie de Paris mises en ligne sur le dark web, et un jeune homme de 21 ans interpellé chez lui en Vendée alors qu’il s’apprêtait à publier de nouvelles fuites. L’affaire HexDex, du nom du pseudonyme utilisé par le hacker présumé, est devenue en quelques heures l’un des dossiers cyber les plus lourds ouverts en France cette année. Après une garde à vue commencée lundi 20 avril 2026, le suspect a été mis en examen et écroué jeudi 23 avril 2026 par un juge d’instruction parisien. Voici ce que l’enquête révèle déjà, pourquoi cette affaire compte pour tous les Français dont les données personnelles transitent par des administrations, et quoi faire si vous pensez être concerné.
Sommaire
Un profil aussi jeune qu’inattendu
Le hacker présumé se cache derrière le pseudo HexDex. Selon les éléments communiqués par les enquêteurs et repris par franceinfo, CNews ou Actu17, il s’agit d’un homme né en août 2004, soit 21 ans au moment des faits. Il a été interpellé lundi 20 avril 2026 à son domicile en Vendée, alors qu’il préparait, selon les investigateurs, la publication d’une nouvelle série de données volées. Placé en garde à vue dans la foulée, il a reconnu aux enquêteurs utiliser le pseudonyme HexDex et son implication dans une partie des faits qui lui sont reprochés.
Le parquet de Paris confirme qu’une centaine de piratages ont été signalés et sont potentiellement liés à ce même profil, depuis le 19 décembre 2025. Autrement dit, une séquence de quatre mois environ au cours de laquelle le jeune homme aurait mené une campagne d’attaques extrêmement régulière contre des cibles variées.
Les cibles : un tour d’horizon inquiétant du service public français
La liste des institutions victimes est à elle seule un résumé de la surface d’attaque du service public français. Parmi les organismes dont les données ont été publiées sur le dark web figurent :
La CFDT, syndicat majeur du paysage social français, dont les fichiers de membres ont circulé. Le ministère de l’Éducation nationale, à travers une base de données connue sous le nom de « Compas ». La plateforme de formation en ligne de la police nationale, baptisée e-campus, dont la compromission est particulièrement symbolique — elle héberge des formations destinées à des fonctionnaires ayant accès à des informations sensibles. La Philharmonie de Paris, institution culturelle disposant de fichiers clients et adhérents. La préfecture de la Moselle, le Système d’information sur les armes (SIA), l’Agence nationale de la cohésion des territoires (ANCT). Les Banques Alimentaires, Logis Hôtels France et le groupe Brithotel complètent ce tableau.
Ce qui rend cette liste particulièrement problématique, c’est la combinaison de cibles publiques sensibles (police, éducation, préfecture), de cibles à haute visibilité (Philharmonie, syndicat), et de cibles privées à fort volume utilisateurs (groupes hôteliers). Elle dessine un schéma qui ne ressemble pas à une opération isolée : le mode opératoire et le rythme suggèrent plutôt un acteur individuel ayant accumulé des accès par des méthodes variées.
La fuite e-campus, un dossier à part
Parmi les piratages reprochés, celui de la plateforme e-campus de la police nationale se distingue. Il ne s’agit pas d’un simple annuaire grand public : la plateforme héberge des contenus de formation destinés à des agents publics, potentiellement y compris sur des procédures opérationnelles. Une fuite de données issues de ce système, selon sa nature, pourrait ou bien rester cantonnée à des données d’utilisateurs (emails, identifiants, horaires de formation), ou bien toucher à des contenus pédagogiques plus sensibles.
Les enquêteurs n’ont pas détaillé publiquement l’étendue exacte de la fuite. Le parquet de Paris a néanmoins mentionné ce dossier parmi les éléments ayant motivé la sévérité de la suite judiciaire. L’affaire est à suivre de près dans les prochaines semaines, car son impact dépendra directement de la nature précise des fichiers exfiltrés.
Une procédure judiciaire lourde et rapide
Après la garde à vue commencée le 20 avril 2026, HexDex a été déféré devant un juge d’instruction parisien. Jeudi 23 avril, il a été mis en examen pour six infractions, dont quatre au titre de l’« association de malfaiteurs en vue de la préparation d’un crime ou d’un délit ». Les autres chefs retenus concernent l’accès et le maintien frauduleux dans un système de traitement automatisé de données, ainsi que la captation et la diffusion de ces données.
Il a été placé en détention provisoire dans la foulée. Cette décision d’incarcération immédiate est notable pour un jeune adulte sans antécédents lourds connus publiquement : elle traduit la perception, par la justice, d’un risque de réitération. Les enquêteurs avaient justement interpellé le suspect au moment où il préparait une nouvelle publication, ce qui a pesé dans la décision du juge des libertés et de la détention.
La méthode présumée : exfiltrations puis publication sur le dark web
Selon les éléments communiqués, HexDex utilisait un modus operandi assez classique dans le cyber d’aujourd’hui : obtention d’un accès (par exploitation de vulnérabilités, phishing ciblé ou identifiants compromis), extraction massive de données, puis publication progressive sur des forums du dark web. Ce type de « leak » n’a pas vocation à un gain financier immédiat par rançon — même si la revente des données sur des marchés spécialisés peut se pratiquer — mais tient plutôt d’une logique de notoriété dans les milieux underground.
Le profil ressemble à ceux rencontrés dans des affaires précédentes de hackers individuels jeunes, techniquement compétents, qui ciblent des institutions pour démontrer leur capacité à franchir des sécurités qu’on suppose solides. La différence avec HexDex est la densité : environ 100 piratages en quatre mois, ce qui est un rythme soutenu pour un acteur isolé et qui explique probablement l’intensité de la mobilisation policière.
Ce que ça veut dire pour les Français
Si vous avez fait partie d’un des organismes victimes (adhérent CFDT, agent public ayant suivi une formation e-campus, client d’hôtel Logis ou Brithotel, personnel de l’Éducation nationale, abonné Philharmonie, etc.), il est probable que des données vous concernant figurent dans les fuites publiées. Les informations exfiltrées peuvent inclure noms, emails, identifiants, parfois mots de passe hashés, numéros de téléphone, adresses postales, voire identifiants administratifs internes selon les bases.
Les réflexes à adopter :
D’abord, vérifier si votre adresse email a été concernée par une fuite connue. Le site Have I Been Pwned et les outils équivalents permettent de vérifier si votre adresse mail a été compromise dans une base de données volée. Entrez votre email, vous saurez immédiatement si des services vous concernant ont été exposés.
Ensuite, changer les mots de passe des services concernés si vous reconnaissez un organisme dans la liste ci-dessus. Privilégier un mot de passe unique par service, idéalement généré et stocké dans un gestionnaire. Activer l’authentification à deux facteurs partout où elle est disponible.
Pour les données email, beaucoup considèrent qu’une fuite est l’occasion de passer à une messagerie plus rigoureuse côté sécurité. Plusieurs alternatives à Gmail proposent un chiffrement et des politiques de confidentialité plus strictes en 2026, avec des offres gratuites et des formules pro.
Rester prudent sur les messages post-fuite
Les fuites de données servent souvent de matière première à des campagnes de phishing ciblées. Une fois qu’un attaquant sait que vous êtes adhérent de tel syndicat ou client de tel hôtelier, il peut vous envoyer un message très crédible qui imite la charte graphique de l’organisme et vous demande de « vérifier votre compte » ou de « régulariser une cotisation ». Le vrai organisme ne vous écrira jamais pour demander un mot de passe, un code, un numéro de carte ou un versement en urgence.
La règle simple : toute sollicitation inhabituelle, même si elle ressemble à un courrier officiel, doit être vérifiée par un canal indépendant — site officiel, numéro client connu, application mobile authentifiée. Ne jamais cliquer sur un lien reçu dans un mail sans l’avoir comparé au domaine officiel de l’organisme.
L’enquête va continuer
L’arrestation de HexDex ne clôt pas le dossier. Les investigations vont maintenant porter sur la cartographie exacte des piratages, la confirmation du mode opératoire sur chaque cible, et la vérification de l’hypothèse d’un acteur strictement individuel ou au contraire de complices éventuels. La qualification d’association de malfaiteurs retenue par le juge d’instruction suggère que les enquêteurs n’excluent pas la présence d’un entourage.
Pour les organismes concernés, les jours et semaines à venir vont être consacrés à évaluer précisément les données fuitées, notifier les personnes concernées (conformément au RGPD), et renforcer leurs dispositifs de détection. La CNIL devrait également ouvrir ses propres procédures d’instruction pour chaque organisme victime.
Ce qu’il faut savoir
HexDex, pseudonyme d’un jeune homme de 21 ans né en août 2004, a été interpellé en Vendée le 20 avril 2026, puis mis en examen et écroué le 23 avril pour six infractions liées à une vague d’environ 100 cyberattaques menées depuis décembre 2025. Les cibles incluent la CFDT, le ministère de l’Éducation nationale (base Compas), la plateforme de formation de la police nationale e-campus, la Philharmonie de Paris, la préfecture de la Moselle, le Système d’information sur les armes (SIA), l’ANCT, les Banques Alimentaires et les groupes hôteliers Logis France et Brithotel. Si vous faites partie d’un de ces organismes, vérifier la compromission de vos identifiants, changer vos mots de passe et activer le 2FA sont les réflexes prioritaires. L’affaire va probablement donner lieu à plusieurs mois d’enquête complémentaire et à des notifications RGPD dans les semaines qui viennent.
