Affaire « HexDex » : comment un hacker isolé a pillé une centaine d'organismes français

25/5/26
👈 les autres actualités

Mis en examen le 23 avril 2026, un Vendéen de 21 ans est soupçonné d'avoir dérobé les bases de données de plus de 90 organismes publics et privés. Derrière le portrait médiatique d'un jeune « en quête de reconnaissance » se cache un constat bien plus dérangeant pour les responsables de la conformité : la quasi-totalité de ces intrusions ont visé des systèmes mal sécurisés.

Ce qui s'est passé

Le 20 avril 2026, la Brigade de lutte contre la cybercriminalité interpelle en Vendée un homme de 21 ans connu sous le pseudonyme « HexDex ». Mis en examen trois jours plus tard et placé en détention provisoire à l'issue d'une enquête de cinq mois, Faouzi C. — décrit par Le Monde comme un jeune maraîcher — est relié par les enquêteurs à une centaine de signalements de piratages commis depuis le 19 décembre 2025.

La liste des victimes donne le vertige : fédérations sportives nationales (voile, athlétisme, gymnastique, canoë-kayak, handisport), préfecture de la Moselle, Agence nationale de la cohésion des territoires, ou encore la plateforme de formation e-campus de la police nationale. Au moment de son arrestation, le hacker s'apprêtait, selon Le Monde, à publier les données personnelles de millions d'automobilistes passés par les centres de contrôle technique Autovision.

Le mode opératoire est aussi simple qu'industriel : repérer des systèmes aux protections défaillantes, exfiltrer les bases de données, les indexer, puis les revendre sur des forums spécialisés du dark web. Pas d'attaque sophistiquée à coups de failles « zéro-day » — simplement des portes laissées ouvertes.

Pourquoi c'est important

Pour un DPO, l'enseignement principal de l'affaire HexDex n'est pas le profil du pirate, mais la vulnérabilité des cibles. Lorsqu'un acteur isolé, sans moyens particuliers, parvient à compromettre une centaine d'organisations en cinq mois, le problème n'est plus la menace : c'est le niveau de sécurité moyen des traitements.

Le RGPD ne laisse pourtant aucune ambiguïté. La sécurité du traitement imposée par l'article 32 exige des mesures techniques et organisationnelles « appropriées au risque » : chiffrement, contrôle d'accès, tests réguliers. Une base de données exposée parce qu'un correctif n'a pas été appliqué ou qu'un mot de passe par défaut a été conservé constitue, en soi, un manquement — indépendamment du vol qui en découle.

L'affaire s'inscrit dans une tendance lourde : la CNIL a enregistré un nombre record de 6 167 violations de données en 2025. La violation n'est plus un accident exceptionnel, mais une probabilité à intégrer dans la gouvernance des données.

Ce que ça change pour les organisations

Concrètement, trois réflexes s'imposent.

D'abord, vérifier l'exposition réelle de ses traitements : surfaces publiques, comptes dormants, sous-traitants insuffisamment audités. Notre guide pour identifier un piratage de données personnelles aide à repérer les signaux faibles avant qu'une base ne se retrouve en vente.

Ensuite, disposer d'une procédure d'incident testée. En cas de violation, la notification à la CNIL prévue par l'article 33 doit intervenir dans les 72 heures, et l'article 34 impose la communication aux personnes concernées lorsque le risque est élevé. Ces délais ne se tiennent pas en improvisant : notre guide violation de données : comment réagir et se protéger détaille la marche à suivre.

Enfin, anticiper plutôt que subir. Les bons réflexes à adopter avant la prochaine attaque — cartographie, registre des violations, contrôles d'accès granulaires — relèvent désormais de la maturité minimale attendue par l'autorité de contrôle. Les organismes publics, particulièrement visés dans cette affaire, sont soumis aux mêmes exigences : notre guide RGPD et collectivité territoriale le rappelle.

Ce que Leto pense de cette décision

L'affaire HexDex est moins un fait divers de cybercriminalité qu'un audit de sécurité grandeur nature — involontaire, et raté par une centaine d'organisations. Le récit médiatique se concentre sur le « jeune en quête de reconnaissance » ; le vrai sujet est ailleurs. Si un individu seul peut pénétrer 90 systèmes en quelques mois, c'est que la conformité RGPD reste, pour beaucoup, une affaire de papier plus que de pratique. La sécurité du traitement n'est pas une posture défensive optionnelle : c'est une obligation légale dont le défaut s'apprécie avant l'incident. La bonne question n'est pas « serons-nous visés ? », mais « que trouvera-t-on si on l'est ? ».

Sources :
Le Monde — « J'étais seul dans ma chambre et j'ai dérapé » : la dérive du hackeur « HexDex »
franceinfo — Un homme surnommé « HexDex » interpellé après de nombreuses cyberattaques
L'Essor — Arrestation de « HexDex », un hacker soupçonné de plus de cent piratages en France

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026