HexDex : la BL2C Saisit le Profil du Hacker Derrière les Fuites Françaises

La Brigade de lutte contre la cybercriminalité (BL2C) de la préfecture de police de Paris, saisie par le parquet de Paris, enquête sur HexDex, pseudonyme derrière plusieurs des plus grosses fuites de données françaises de l’année. Deux jeunes de 20 et 17 ans ont été mis en examen le 19 mars 2026 pour l’attaque de l’OFII, et une page de saisie aux couleurs de la BL2C a remplacé le profil d’HexDex. À ce stade, les communications officielles n’établissent pas formellement que les deux mis en examen sont les personnes physiques derrière le pseudonyme HexDex utilisé dans l’affaire e-campus : deux procédures parallèles coexistent.

Depuis ce week-end, une capture tourne sur LinkedIn : une page de saisie aux couleurs de la BL2C et du parquet de Paris, assortie de la mention « travail en cours », a remplacé le profil en ligne d’HexDex. L’image alimente l’idée d’une interpellation majeure. Les éléments publics disponibles dessinent un tableau plus nuancé et pour un RSSI, la nuance a des conséquences opérationnelles concrètes.

Qui est HexDex, et pourquoi son nom revient dans chaque fuite française ?

HexDex est le pseudonyme d’un acteur (ou d’un groupe) qui revendique plusieurs des plus importantes compromissions de données françaises des derniers mois. TF1 Info le décrit comme « l’un des principaux hackers à l’origine des fuites de données françaises ». Le pseudonyme, que l’intéressé explique lui-même par référence à l’hexadécimal « le langage brut des machines » et à l’idée d’un index explorant les systèmes d’information, est associé à la revente des données issues de la cyberattaque du ministère de l’Éducation nationale du 15 mars 2026, qui a compromis les données personnelles de 243 000 agents.

Dans un entretien à ZATAZ, HexDex décrivait un modèle économique sans fioriture : « Tout ce que je fais sous la bannière HexDex a un objectif clair : gagner de l’argent. » Il y détaille une chaîne de revente au détail, analyse, indexation, vente à des intermédiaires qui revendent à leur tour à leurs propres clients. Pas d’idéologie, pas d’hacktivisme : un écosystème de revente de données sur le dark web que CybelAngel surveille en continu pour ses clients.

Que s’est-il passé exactement entre le 1er janvier et le 22 avril 2026 ?

La chronologie publique contient deux affaires distinctes, souvent confondues depuis l’apparition de la page de saisie.

• 1er janvier 2026 — Attaque informatique contre l’Office français de l’immigration et de l’intégration (OFII).
• 15 mars 2026 — Cyberattaque du ministère de l’Éducation nationale ; données de 243 000 agents exposées, revendues en ligne par un groupe identifié comme Hexdex.
• 17 et 18 mars 2026 — Consultation frauduleuse des données d’identification de policiers actifs via la plateforme de formation e-campus de la police nationale.
• 19 mars 2026 — Deux jeunes de 20 et 17 ans mis en examen à Paris pour l’attaque de l’OFII ; téléphones et matériel saisis.
• 30 mars 2026 — Le parquet de Paris saisit la BL2C pour enquêter sur l’intrusion dans e-campus.
• 15 avril 2026 — La Direction générale de la police nationale (DGPN) confirme publiquement le piratage d’e-campus auprès de France Info.

Les deux mis en examen du 19 mars l’ont été pour l’OFII, pas pour e-campus. La saisine de la BL2C sur le volet e-campus intervient onze jours plus tard. Rien, dans les communications officielles, n’établit à ce jour que ces deux personnes sont celles qui se cachent derrière la signature HexDex de l’affaire e-campus. Pour un RSSI, cette nuance compte : tant que la chaîne d’attribution n’est pas close, considérer que « HexDex est neutralisé » serait prématuré.

Qui enquête sur HexDex, et avec quels moyens ?

L’enquête est pilotée à deux étages. Côté police, la Brigade de lutte contre la cybercriminalité (BL2C) de la préfecture de police de Paris, héritière de la BEFTI, rebaptisée en 2019 et rattachée à la sous-direction Cyber/Fi installée au 36, rue du Bastion (Paris 17e). Côté parquet, la section J3, dirigée par Johanna Brousse, vice-procureure de 40 ans installée au 25e étage du tribunal de Paris.

Les moyens, eux, restent sous-dimensionnés au regard du contentieux. La section J3 fonctionne avec six magistrats, trois assistants spécialisés et quatre greffiers pour une compétence nationale qui totalisait, selon Les Échos, 2 437 affaires en cours en octobre 2025. « En 2017, quand j’ai intégré le parquet cyber, on n’était que deux », rappelle la vice-procureure au même média. Un RSSI qui compte exclusivement sur la réponse judiciaire pour protéger ses données surestime les moyens disponibles et sous-estime le délai moyen d’une enquête cyber.

Que risque HexDex sur le plan pénal ?

Le cadre applicable repose principalement sur quatre articles du Code pénal :

• Article 323-1 — accès ou maintien frauduleux dans un système de traitement automatisé de données : 2 ans d’emprisonnement, 60 000 € d’amende.
• Article 323-3 — extraction ou modification frauduleuse de données : 5 ans, 150 000 €.
• Article 321-1 — recel de données issues d’un piratage : jusqu’à 5 ans et 375 000 €.
• Article 223-1-1 — diffusion d’informations personnelles exposant des forces de l’ordre à un risque direct : 3 ans et 45 000 €, porté à 5 ans lorsque la victime est un agent dépositaire de l’autorité publique.

Ce dernier article est celui qui pèse le plus lourd dans le volet e-campus. Un arrêt de la Cour de cassation du 11 février 2025 a confirmé la recevabilité de la constitution de partie civile des policiers concernés lorsque leurs données sont exposées. En pratique toutefois, les procédures françaises antérieures pour des faits comparables se sont souvent soldées par des peines partiellement assorties de sursis, loin des maxima théoriques.

HexDex, les rançongiciels et la géographie de la menace cyber française

HexDex n’est pas un groupe de ransomware. Son modèle, revendiqué publiquement, est la revente fractionnée de bases de données, data brokerage criminel, pas chiffrement-rançon. Mais les deux écosystèmes ne sont pas étanches : ils partagent les mêmes forums, les mêmes access brokers, et souvent les mêmes victimes à douze mois d’intervalle.

Les données exfiltrées par des acteurs de type HexDex alimentent directement la phase de reconnaissance des groupes de ransomware. Un identifiant d’employé compromis via une fuite de 2024 devient le point d’entrée d’une attaque Akira en 2026, qui, selon les données de mars 2026 relayées par Breachsense, a posté 84 victimes en un mois et peut désormais passer de l’accès initial au chiffrement complet du réseau en moins de quatre heures. RansomHub, qui recrute agressivement des affiliés expérimentés et a éclipsé plusieurs noms installés, s’appuie largement sur des identifiants déjà en circulation. Cl0p, maître du modèle de quadruple extorsion, a fait basculer une partie de ses attaques vers le pur vol de données, plus de 500 millions de dollars de rançons collectés, selon les chiffres cités par CybelAngel et CISA.

Le rapport CybelAngel 2024 faisait état d’une hausse de 42 % des attaques ransomware déclarées et de 125 % du nombre de groupes actifs. La France est dans la ligne de mire : les attaques silencieuses qui exfiltrent sans chiffrer et déclenchent la demande de rançon seulement une fois les données en main, effacent la frontière entre data brokerage et ransomware, et rendent inopérantes les défenses calibrées sur le scénario classique « chiffrement + note de rançon ».

Pour aller plus loin — Notre ebook Ransomware Actor Profiling propose sept profils opérationnels détaillés des groupes les plus actifs du marché (Black Basta, RansomHub, Ryuk, Akira, Cl0p, Lynx, DragonForce), leurs TTPs, leurs vecteurs d’infiltration privilégiés et les patterns à détecter.

Ce que l’affaire HexDex change concrètement pour les entreprises françaises

HexDex tombe, si tant est qu’il tombe vraiment, au cœur d’une série noire dont l’échelle est désormais industrielle. Onze à quinze millions de Français touchés par la fuite Cegedim. 1,5 million de collégiens et lycéens par l’UNSS. 774 000 étudiants par le Crous. 450 000 personnes par l’exfiltration au ministère des Sports. Le hackeur éthique Clément Domingo, alias SAXX, a présenté publiquement un fichier cumulant 60 millions de données issues de ces fuites, estimant que « les données de huit Français sur dix circulent déjà dans cet écosystème ».

Les conséquences en aval sont mesurables. L’usurpation de numéros de téléphone a bondi de 517 % sur un an, symptôme direct d’un marché de la donnée où chaque fuite alimente la suivante. Pour un RSSI ou un DPO, trois conclusions opérationnelles se dégagent.

1. Vos données circulent probablement déjà. Indépendamment de la sécurité de votre propre système d’information, les données de vos collaborateurs, fournisseurs et clients ont pu être exposées via une tierce partie. La question n’est plus si, mais lesquelles et depuis quand. Une surveillance continue des identifiants compromis sur les forums spécialisés et les marketplaces cybercriminelles relève désormais du socle, pas de l’option.

2. L’attaquant est sur votre surface tierce, pas sur votre cœur. Les intrusions e-campus et Éducation nationale illustrent un schéma récurrent : ce n’est pas le SI central qui tombe, mais une plateforme de formation, un prestataire RH, un sous-traitant applicatif. La cartographie continue de la surface d’attaque externe, y compris actifs oubliés, environnements de pré-production, prestataires connectés, est un prérequis, pas un luxe.

3. La revente se fait par lots, sur la durée. HexDex décrit lui-même son modèle : indexation, fractionnement, revente progressive. Une base compromise aujourd’hui peut ressurgir dans six mois dans une nouvelle vague d’attaques par credential stuffing, d’ingénierie sociale, ou, comme on l’a vu, comme vecteur d’accès initial pour un affilié ransomware. Les plans de réponse incident calibrés sur le seul moment de la fuite initiale travaillent sur le mauvais horizon.

À propos de l'auteur

REACT

The REACT Team is an elite group of cybersecurity analysts who work at CybelAngel.

lire tous les articles