Le parquet de Paris a annoncé mercredi 22 avril l'interpellation d'un jeune homme de 21 ans en Vendée, soupçonné d'être le pirate informatique derrière le pseudonyme « HexDex ». Ce dernier est accusé d'avoir mené une centaine de cyberattaques depuis décembre 2025, ciblant en priorité des fédérations sportives françaises. L'affaire, qui touche potentiellement plusieurs millions de licenciés, révèle l'ampleur des risques numériques auxquels sont exposés les sportifs amateurs et leurs familles.
Qui est HexDex, le pirate présumé interpellé en Vendée ?
Né en août 2004, le suspect venait tout juste d'avoir 21 ans lorsqu'il a été arrêté lundi 20 avril 2026. Les enquêteurs de la section de lutte contre la cybercriminalité du parquet de Paris le surveillaient depuis plusieurs mois. Selon le ministère public, le jeune homme a reconnu utiliser le pseudonyme « HexDex » pour revendiquer ses piratages. Son interpellation a eu lieu alors qu'il s'apprêtait à publier de nouvelles données volées, selon les informations communiquées par le parquet.
Son compte sur la plateforme Darkforum, spécialisée dans la revente de données, a été saisi, tout comme son matériel informatique, qui devra être exploité par les enquêteurs. Mis en examen le 23 avril, il a été placé en détention provisoire. Le parquet de Paris le relie à une centaine de signalements concernant des piratages de sites Internet depuis le 19 décembre 2025.
Un profil qui correspond à une tendance inquiétante
Le profil de ce pirate correspond à une tendance lourde : celle de jeunes hackers qui s'entraînent en passant d'une cible à l'autre. Comme le soulignait un article du Parisien en janvier 2026, ces attaquants « vont vers la facilité » et « s'entraînent en passant d'une fédération à une autre ». Le quotidien citait un pirate expliquant sa méthode : « Je me suis facilement fait passer pour un bénévole. »
HexDex n'est pas un cas isolé dans les radars de la justice. En janvier 2026, deux pirates présumés âgés de 17 et 20 ans ont été mis en examen pour des attaques sur des académies. Et le même jour que l'arrestation en Vendée, une fuite de données massive touchant l'Agence Nationale des Titres Sécurisés (ANTS) était révélée, exposant potentiellement 11,7 millions de comptes. Un mineur de 15 ans a été interpellé dans cette affaire, selon les informations du Monde.
Quelles fédérations sportives ont été piratées ?
La liste des fédérations touchées est longue. Selon les informations du Parisien, une quinzaine de disciplines ont été visées : la voile, l'athlétisme, le sport automobile, la gymnastique, le ski, le rugby à 13, l'aïkido, le sport universitaire, la montagne et escalade, le football américain, la randonnée pédestre, l'aéronautique, le canoë-kayak, le handisport, ainsi que la savate et la boxe française.
Mais ces attaques s'inscrivent dans une vague plus large. Depuis plusieurs mois, les fédérations sportives françaises subissent une véritable hécatombe numérique. La Fédération Française de Gymnastique (FFGym) a annoncé que près de 2,9 millions de licenciés et anciens licenciés étaient concernés par une violation de données via son outil FFGym Licence. La Fédération Française de Football (FFF) a confirmé un accès non autorisé touchant potentiellement 10 millions de personnes. La Fédération Française de Rugby (FFR) a vu les données d'un demi-million de licenciés dérobées. Et la Fédération Française de Tennis (FFT) a subi une fuite touchant 1,2 million de comptes en janvier 2026.
Un quart des licenciés sportifs français concernés
Au total, selon le site ID Protect, plus de 4 millions de licenciés sportifs français auraient vu leurs données compromises. Cela représente plus d'un licencié sur quatre dans un pays qui en compte plus de 15 millions. Le ministère des Sports a également confirmé une exfiltration de données du système FORÔMES, qui gère les candidatures aux formations sportives et d'animation. Environ 450 000 personnes sont concernées, avec des informations comme le nom, la date et le lieu de naissance, l'adresse, le numéro de téléphone et l'email. L'incident est lié au piratage d'un compte d'organisme de formation.
L'UNSS et les données des élèves
Les adolescents et les enfants sont particulièrement exposés dans cette affaire. L'Union Nationale du Sport Scolaire (UNSS), qui organise les compétitions sportives dans les collèges et lycées, aurait également été piratée, selon les informations de l'Est Républicain. L'attaque, survenue en novembre 2025, pourrait être liée à HexDex selon les enquêteurs. Cela signifie que des millions d'élèves, parfois âgés de 11 ou 12 ans, ont vu leurs données personnelles compromises.
Pour les élèves, les risques sont multiples. Leurs données personnelles peuvent être utilisées pour créer de faux profils sur les réseaux sociaux, tenter d'accéder à leurs comptes scolaires, ou encore envoyer des messages frauduleux à leurs parents en se faisant passer pour l'établissement.
Comment les pirates ont-ils procédé ?
La méthode utilisée par HexDex et ses semblables repose sur une technique bien rodée : le phishing, ou hameçonnage. Dans le cas de la FFGym, l'attaque est passée par un compte club compromis. Un bénévole ou un dirigeant de club a reçu un message piégé, a cliqué sur un lien, et a livré ses identifiants sans le savoir. Pour la FFR, l'incident s'est produit à la suite d'une campagne de phishing visant certains licenciés.
Une fois à l'intérieur, les pirates ont pu explorer les bases de données, extraire les informations personnelles des licenciés, puis les publier sur des forums spécialisés comme BreachForum ou Darkforum. Ces plateformes fonctionnent comme des marchés noirs où les données sont vendues à la découpe, parfois pour quelques euros seulement, avec des mentions comme « Make offer ».
Des cibles variées au-delà du sport
HexDex ne s'est pas limité aux fédérations sportives. Selon le ministère public, il a également attaqué des sites de syndicats comme la CFDT et FO, des bases de données du ministère de l'Éducation nationale (243 000 agents concernés via la base Compas), le portail e-Campus pour les étudiants, l'Agence nationale de la cohésion des territoires, des chaînes d'hôtels comme Logis Hôtels France et Brit Hotel, la Philharmonie de Paris, ou encore la préfecture de Moselle.
Le système d'information sur les armes (SIA), qui répertorie les particuliers détenteurs d'armes, a également été piraté par HexDex. Cette attaque est particulièrement préoccupante : en 2025, la Fédération Française de Tir (FFTir) avait déjà été victime d'un piratage qui avait permis à des malfaiteurs de repérer des détenteurs d'armes pour les voler. Un jeune majeur né en 2007 a d'ailleurs été mis en examen début 2026 pour son implication présumée dans cette affaire.
Quelles données personnelles ont été volées ?
Les données dérobées varient selon les fédérations, mais un noyau commun revient systématiquement : nom, prénom, date de naissance, adresse postale, numéro de téléphone et adresse email. Dans certains cas, des photos d'identité ont également été compromises. Selon ID Protect, les mots de passe et les données bancaires n'ont pas été touchés dans la plupart des attaques.
Mais cela ne signifie pas que les risques sont faibles. Avec un nom, une adresse et un numéro de téléphone, un escroc peut déjà mener des opérations de phishing ultra-ciblé, appelé « spear phishing ». Il peut envoyer un message qui semble parfaitement légitime, puisqu'il connaît déjà le nom du club, le sport pratiqué, et parfois même le nom de l'entraîneur.
Le cas particulier des données d'armes
Le piratage du SIA est d'une nature différente. Les données des détenteurs d'armes, couplées aux informations personnelles, créent un risque physique bien réel. En 2025, la FFTir avait été victime d'une attaque similaire, et des agressions avaient suivi, des malfaiteurs ciblant les adhérents pour leur voler leurs armes. Ce précédent montre que les fuites de données sportives peuvent avoir des conséquences bien au-delà du numérique.
Pourquoi les hackers ciblent-ils les jeunes sportifs ?
La réponse est simple : les données des mineurs sont souvent moins bien protégées, et les familles ont tendance à utiliser les mêmes mots de passe pour plusieurs services. Un pirate qui obtient l'email et le mot de passe d'un adolescent peut ensuite tenter de les réutiliser sur d'autres plateformes : réseaux sociaux, services de streaming, voire comptes bancaires parentaux.
Le site gouvernemental Cybermalveillance.gouv.fr a d'ailleurs lancé une campagne intitulée « CACTUS 2026 » spécifiquement destinée aux parents d'élèves. Le script de la vidéo de sensibilisation mentionne les clubs de sport comme vecteur potentiel d'arnaques, avec des offres alléchantes comme « du matériel gratuit pour vos enfants » servant d'appât.
Comment savoir si mon club ou ma fédération a été touché ?
Si vous êtes licencié dans l'une des fédérations mentionnées, il est probable que vos données aient fuité. La FFGym a immédiatement suspendu son service de licence en ligne, déclenché une enquête interne, et effectué les déclarations obligatoires auprès de la CNIL et de l'ANSSI. La FFF a confirmé un accès non autorisé à des données d'identité et de licences via un compte compromis.
Pour vérifier si vos informations ont été compromises, plusieurs options s'offrent à vous. Le site Cybermalveillance.gouv.fr propose des ressources et des conseils pour les victimes. Vous pouvez également consulter la plateforme Have I Been Pwned, qui référence les fuites de données connues dans le monde entier.
La CNIL place les fédérations sous surveillance
La CNIL a d'ailleurs placé 30 fédérations sportives sous surveillance en 2026, après la série de fuites. Les contrôles portent sur la pertinence des données collectées, les durées de conservation et les mesures de sécurité mises en place. Si votre fédération fait partie des cibles, elle a l'obligation légale de vous informer de la violation de données. Ne négligez pas ces notifications : elles sont le premier signe que vous devez agir.
Que faire si mes informations ont fuité ?
Si vous découvrez que vos données ont été compromises, ne paniquez pas, mais agissez rapidement. La première chose à faire est de changer votre mot de passe sur le site de la fédération concernée, mais aussi sur tous les autres services où vous utilisez le même identifiant. Activez la double authentification (2FA) dès que possible. Cette mesure de sécurité ajoute une couche de protection : même si un pirate obtient votre mot de passe, il ne pourra pas se connecter sans le code envoyé sur votre téléphone.
Surveillez vos emails et vos SMS avec attention. Les escrocs vont probablement profiter de la fuite pour envoyer des messages piégés. Méfiez-vous de tout message qui vous demande de cliquer sur un lien, même s'il semble provenir de votre club ou de votre fédération. Vérifiez toujours l'adresse email de l'expéditeur et ne communiquez jamais vos identifiants par email.
Se protéger sur le long terme
Si vous avez fourni un numéro de téléphone, attendez-vous à une augmentation des appels indésirables et des SMS frauduleux. Ne répondez pas et ne cliquez sur aucun lien. Signalez les messages suspects sur la plateforme SignalConso ou directement auprès de votre opérateur.
Enfin, si vous êtes mineur, parlez-en à vos parents. Ils doivent être informés que vos données personnelles circulent potentiellement sur le dark web, car cela peut avoir des conséquences à long terme, notamment en matière d'usurpation d'identité. Utilisez un gestionnaire de mots de passe pour créer des mots de passe uniques et complexes pour chaque service, sans avoir à les mémoriser.
Les arnaques ont déjà commencé
Comme le soulignait un podcast de France Bleu, « les arnaques ont déjà commencé » suite à ces fuites massives. Les fichiers des fédérations piratés livrent les informations privées à des escrocs qui peuvent désormais envoyer des messages extrêmement crédibles. Imaginez recevoir un email de votre club de judo vous annonçant que la licence doit être renouvelée d'urgence, avec un lien pour effectuer le paiement. Le message mentionne votre nom, celui de votre entraîneur, et le jour de votre entraînement habituel. Tout semble authentique. Pourtant, il s'agit d'une tentative de phishing visant à voler vos coordonnées bancaires.
Ce type d'arnaque, appelé « spear phishing », est particulièrement dangereux car il exploite des informations réelles pour gagner votre confiance. Les pirates peuvent également se faire passer pour des bénévoles du club, comme le décrivait le hacker interviewé par Le Parisien en janvier : « Je me suis facilement fait passer pour un bénévole. »
Les conséquences concrètes pour les victimes
Les données volées sont exploitées par les hackers dans des tentatives de phishing, ou proposées à la vente, souvent à la découpe. Les fichiers des fédérations piratés livrent les informations privées à des escrocs qui peuvent désormais envoyer des messages extrêmement crédibles. Les parents doivent être particulièrement vigilants : si vous recevez un email de l'UNSS ou du club sportif de votre enfant vous demandant de mettre à jour des informations personnelles ou d'effectuer un paiement, contactez directement l'organisation par téléphone avant de cliquer sur quoi que ce soit.
Comment protéger son compte sportif au quotidien ?
La double authentification est votre meilleure alliée. Activez-la sur tous les sites qui le proposent, en particulier ceux des fédérations sportives, des clubs, et des plateformes de réservation de créneaux. Utilisez un gestionnaire de mots de passe. Il vous permet de créer des mots de passe uniques et complexes pour chaque service, sans avoir à les mémoriser. Si un site est piraté, les autres restent protégés.
Ne réutilisez jamais le même mot de passe pour votre compte sportif et pour votre boîte email ou vos réseaux sociaux. C'est la première porte d'entrée pour les pirates. Méfiez-vous des emails et SMS non sollicités. Si votre club vous envoie un message avec un lien, ouvrez votre navigateur et tapez l'adresse du site manuellement plutôt que de cliquer sur le lien.
Limiter les données collectées
Enfin, vérifiez régulièrement les paramètres de confidentialité de votre compte. Certaines fédérations collectent beaucoup plus d'informations que nécessaire. Si une donnée n'est pas obligatoire, ne la fournissez pas. La CNIL a d'ailleurs placé les fédérations sous surveillance précisément sur ce point : la pertinence des données collectées et les durées de conservation. Moins vous donnez d'informations, moins vous en perdez en cas de fuite.
Le contexte plus large des cyberattaques en France
L'arrestation de HexDex intervient dans un contexte de multiplication des cyberattaques en France. Le même jour, une fuite de données massive touchant l'ANTS était révélée, exposant potentiellement 11,7 millions de comptes. Un mineur de 15 ans a été interpellé dans cette affaire, selon les informations du Monde. Le gouvernement a annoncé le déblocage de 200 millions d'euros pour renforcer la protection des services numériques, et le Premier ministre Sébastien Lecornu souhaite affecter les amendes émises par la CNIL à un fonds de modernisation.
Les fédérations sportives ne sont pas les seules cibles. HexDex a également piraté des sites de syndicats comme la CFDT et FO, des bases de données du ministère de l'Éducation nationale (243 000 agents concernés), le portail e-Campus pour les étudiants, l'Agence nationale de la cohésion des territoires, des chaînes d'hôtels comme Logis Hôtels France et Brit Hotel, la Philharmonie de Paris, ou encore la préfecture de Moselle.
Cette diversification des cibles montre que les jeunes hackers ne se limitent pas à un secteur particulier. Ils testent leurs compétences sur des systèmes variés, revendent les données volées, et recommencent ailleurs. Le profil d'HexDex, avec ses attaques touchant à la fois le sport, l'éducation, les syndicats et les administrations, illustre parfaitement cette tendance.
Conclusion
L'interpellation de HexDex en Vendée met un coup d'arrêt à une série de cyberattaques qui ont exposé les données personnelles de millions de sportifs français, dont de nombreux adolescents et enfants. Mais cette affaire est loin d'être un cas isolé : elle s'inscrit dans une tendance lourde où les fédérations sportives sont devenues des cibles privilégiées pour des pirates souvent très jeunes.
Pour les licenciés et leurs familles, la vigilance reste de mise. Les données volées circulent désormais sur le dark web et seront exploitées pendant des mois, voire des années, par des escrocs. Changer ses mots de passe, activer la double authentification, et redoubler de prudence face aux emails suspects sont les gestes essentiels à adopter dès maintenant.
La CNIL a placé les fédérations sous surveillance, et le gouvernement promet des moyens renforcés. Mais la première ligne de défense, c'est vous. Ne laissez pas un pirate transformer votre passion pour le sport en cauchemar numérique.
