Interpellé alors qu’il s’apprêtait à publier de nouvelles données volées, le jeune homme soupçonné d’être derrière des dizaines de fuites touchant fédérations sportives, syndicats et administrations a été placé en garde à vue lundi 20 avril. Son compte sur Darkforum a été saisi dans la foulée.
Une arrestation au dernier moment
Le timing est saisissant. Lorsque les enquêteurs ont interpellé le suspect lundi 20 avril en Vendée, il était en train de préparer une nouvelle publication de données volées. L’homme, né en août 2004, était connu sur les forums du dark web sous le pseudonyme HexDex. Il a reconnu l’utilisation de ce pseudonyme, a appris France Info auprès du parquet de Paris. Son matériel informatique a été saisi et devra être exploité ; son compte sur la plateforme Darkforum l’a été également. Sur Breachforums, une capture d’écran relayée mardi soir par plusieurs internautes ainsi que par le député Eric Bothorel montrait déjà le profil de HexDex estampillé comme saisi par la Brigade de lutte contre la cybercriminalité de la préfecture de police de Paris et la section cyber J3 du parquet de Paris.
L’enquête avait été ouverte pour « atteintes à un système de traitement automatisé de données » après qu’une centaine de signalements eurent afflué à partir du 19 décembre, a précisé le parquet de Paris à franceinfo. Des signalements concernant des exfiltrations revendiquées sur Breachforums et Darkforum, deux places de marché bien connues des spécialistes de la menace cyber.
Comme le souligne Johanna Brousse, vice-procureur et cheffe de la section cyber du parquet de Paris, cette affaire illustre un mode opératoire désormais bien identifié : infiltrer, exfiltrer, puis exposer les données, avec à la clé près de 100 victimes recensées au terme de quatre mois d’enquête.
Un catalogue de victimes étendu
Ce que le parquet de Paris a détaillé à franceinfo donne la mesure du périmètre d’activité de HexDex : des acteurs publics (ministère, police nationale…), des structures associatives et culturelles (fédérations, syndicats), mais aussi le secteur privé (hôtellerie, banques alimentaires).
Deux cibles retiennent particulièrement l’attention : la base « Compas » du ministère de l’Éducation nationale et e-campus, la plateforme de formation en ligne de la police nationale. Des données sensibles, dans des structures dont on attendrait une posture de sécurité renforcée.
Le parquet prend soin de préciser, toujours auprès de franceinfo, que HexDex n’est en revanche pas impliqué dans la publication des données de l’Agence nationale des titres sécurisés survenue apres une intrusion le 15 avril — rappel utile pour éviter toute confusion dans un contexte où les incidents s’accumulent.
Ce que ce dossier dit de l’exposition des organisations françaises
Un seul individu, 22 ans, sans infrastructure sophistiquée apparente, capable de frapper aussi bien une fédération sportive qu’un système d’information régalien : le profil dit beaucoup sur la surface d’attaque réelle des organisations françaises, publiques comme privées. La diversité des victimes n’est pas le signe d’une stratégie ciblée, mais plutôt d’une opportunisme méthodique exploitant des failles dispersées dans des entités qui, pour beaucoup, ne se pensaient pas comme des cibles prioritaires. Il déclarait d’ailleurs début mars chez Zataz, ” mon objectif final reste toujours le même : gagner de l’argent “.
“Si elles se confirment, les arrestations signalées en lien avec le hacker HexDex constitueraient la dernière d’une série de mesures prises à l’encontre des cybercriminels en réponse à une recrudescence d’incidents très médiatisés “, explique Rebecca Taylor, chercheuse à la Counter Threat Unit de Sophos (unité de recherche aux menaces).” Ces arrestations démontrent que les forces de l’ordre peuvent poursuivre, et poursuivront, les individus opérant sur leur territoire “, ajoute la chercheuse.
D’autres arrestations pourraient être en cours, d’après des informations relayées en ligne, mais rien n’est confirmé au moment où nous écrivons ces lignes
🚨 Nouvelle arrestation revendiquée par le BL2C et la section J3 du Parquet de Paris ! Angel_batista, autre cybercriminel très actif ayant comme “HexDex” hacké et revendus les données de millions de Français. Cette saisie sur un autre forum confirme qu’une vague d’arrestation… https://t.co/YfcW8WELZi pic.twitter.com/fB3rqcViv9
— Christophe Boutry (@Ced_haurus) April 21, 2026
