Il fait partie d’un triptyque de pirates informatiques qui, depuis plusieurs mois, bousculent la cybersphère hexagonale. Sous le pseudonyme HexDex, ce pirate revendique des dizaines d’intrusions, de piratages et de fuites de données visant entreprises, plateformes et parfois des structures publiques.
Pourquoi agit-il ainsi ? Cherche-t-il à porter un message politique lorsqu’il s’attaque à l’État ou à certaines administrations ? Derrière ces opérations, s’agit-il d’activisme, de défi technique ou d’autre chose ?
ZATAZ est allé à sa rencontre pour tenter de mieux comprendre qui se cache derrière ce pseudonyme. L’objectif de cet entretien n’est pas d’expliquer ses méthodes ni ses techniques, mais d’approcher l’humain derrière le pirate. L’homme, le fils, le petit frère ou peut-être le cousin que vous croisez chaque jour sans le savoir, dans un bus, à l’université ou autour d’un repas de famille.
– Comment et pourquoi avez-vous débuté dans les fuites de données ?
Tout a commencé lors de la réouverture de BF (BreachForums, espace web pirate). Je n’ai aucune affiliation politique. Tout ce que je fais sous la bannière HexDex a un objectif clair : gagner de l’argent. Si, pour y parvenir, je dois divulguer gratuitement des données sensibles et donner l’impression d’être de gauche ou de droite, cela m’est égal.
– Le pseudonyme HexDex a-t-il une signification particulière ou une histoire liée à votre parcours ?
HexDex est un clin d’œil au monde du bas niveau. « Hex » pour l’hexadécimal, le langage brut des machines que l’humain peut lire. J’ai littéralement souffert en apprenant le binaire avec IDA : au départ, cela ressemble à un langage extraterrestre, mais c’est fascinant quand on est motivé et déterminé. Et je saigne encore des yeux quand je tombe sur un binaire avec des symboles strippés. « Dex », c’est l’idée d’un index, d’un explorateur qui fouille dans les entrailles des entreprises et de leurs infrastructures. Le nom reflète bien quelqu’un qui cherche à comprendre comment les systèmes fonctionnent en profondeur, pas seulement en surface.
– Vous considérez-vous comme un pirate, un lanceur d’alerte, un militant numérique ou autre chose ?
Simplement comme quelqu’un qui gagne de l’argent illégalement et qui ressent une montée d’adrénaline à chaque intrusion.
– Y a-t-il eu un événement précis qui vous a fait basculer vers la publication de fuites de données ? Vous évoquez souvent un ancien brigadier-chef de la Police nationale. Y a-t-il un lien ?
L’appât du gain.
Et non, [identité retirée par la rédaction] n’a rien à voir avec cela. Disons simplement que lorsqu’on prend les gens de haut alors qu’on a soi-même indirectement facilité des meurtres, on évite ce genre d’attitude.
– Dans votre environnement personnel ou professionnel, quelles influences ont façonné votre vision du pouvoir et de l’information ?
Avec le temps, on comprend une chose simple : l’information n’est pas seulement du savoir ou l’adresse de Madame Giselle. C’est une monnaie. Elle s’échange, se conserve, se revend. Et plus elle est sensible, plus elle a de valeur.
– Comment décidez-vous qu’une base de données mérite d’être publiée plutôt que conservée ou ignorée ?
La plupart du temps, je ne publie pas une base de données lorsqu’elle ne contient pas suffisamment d’informations exploitables ou trop peu d’entrées. Parfois aussi, je la diffuse gratuitement.
– Lorsque vous diffusez des données, quel impact recherchez-vous en priorité : médiatique, politique, économique (est-ce réellement rentable) ou symbolique ?
Un peu de tout. Parfois, une base mise en vente ne trouve preneur que deux ou trois semaines plus tard : le marché ne se contrôle pas vraiment. On publie et on attend. Mais, comme vous l’avez compris, mon objectif final reste toujours le même : gagner de l’argent.
– Pensez-vous que les fuites massives changent réellement la manière dont les institutions — ou les citoyens — gèrent leurs données ?
À une échelle très limitée. Il suffit de regarder les comptes Twitter qui signalent les fuites de données en temps réel : ils ne sont suivis que par une infime partie de la population. Quand une fuite importante arrive jusqu’au JT de TF1, ce sont surtout des téléspectateurs plus âgés qui la découvrent. Dans mon entourage, la plupart des gens n’en ont rien à faire et ignorent totalement que leurs données ont déjà fuité deux ou trois fois.
– Observez-vous les réactions publiques et médiatiques après une fuite, et influencent-elles vos actions suivantes ?
Oui. Les réactions sont presque toujours négatives. Les gens sont outrés par ces fuites, et cela me confirme une chose : les données que je récupère sont sensibles, donc elles ont de la valeur.
News & alertes actualités cyber
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.
– Existe-t-il des lignes rouges que vous ne franchissez pas dans la publication de données ?
Aucune. Pour gagner de l’argent, je n’ai pas de limite.
– Dans certains cas, avez-vous déjà choisi de ne pas publier des données pour des raisons morales ou stratégiques ?
Non. Toutes les données récupérées ont une valeur à mes yeux, qu’elles soient sensibles ou moralement discutables.
– Que répondez-vous aux personnes qui considèrent que ces fuites mettent en danger des citoyens ordinaires ?
Je dirais que les premiers responsables sont ceux qui ont laissé ces données exposées.
Au fil de l’entretien, une constante s’impose. Derrière le personnage HexDex, il n’apparaît ni revendication idéologique, ni volonté d’influencer un débat public. Le pirate décrit ses opérations comme une activité guidée par l’opportunité, la valeur des informations dérobées et la perspective de gains financiers. Les administrations, entreprises ou plateformes visées ne constituent pas des cibles politiques à ses yeux, simplement des systèmes vulnérables et des bases de données monnayables. Dans cette logique, la fuite de données devient avant tout un produit sur un marché clandestin, où l’idéologie pèse peu face à l’économie souterraine de l’information.
Ce que risque un pirate informatique en France
En droit français, les intrusions informatiques, le vol de données et leur diffusion constituent des infractions pénales clairement définies par le Code pénal, notamment par les articles 323-1 à 323-7 relatifs aux atteintes aux systèmes de traitement automatisé de données (STAD).
L’accès ou le maintien frauduleux dans un système informatique est passible de 2 ans d’emprisonnement et 60 000 euros d’amende. Lorsque cette intrusion entraîne la modification, l’altération ou la suppression de données, la peine peut atteindre 5 ans de prison et 150 000 euros d’amende.
La collecte, l’extraction ou la détention frauduleuse de données issues d’un système informatique constitue également une infraction. Lorsque ces données sont revendues, diffusées ou exploitées, les faits peuvent être requalifiés en recel de données issues d’un piratage ou en escroquerie, avec des peines pouvant dépasser 5 ans d’emprisonnement et 375 000 euros d’amende, voire davantage si les faits sont commis en bande organisée.
Dans certains cas, la publication de données personnelles peut aussi entraîner des poursuites au titre de l’atteinte à la vie privée ou de l’utilisation frauduleuse de données personnelles. Les sanctions peuvent alors s’alourdir, notamment si les informations concernent un grand nombre de victimes ou des données sensibles.
Enfin, au-delà des sanctions pénales, les auteurs de piratages peuvent également faire face à des actions civiles en réparation des préjudices subis par les entreprises, administrations ou particuliers touchés par les fuites de données. Les dommages et intérêts réclamés peuvent atteindre plusieurs millions d’euros selon l’ampleur des dégâts.
Il fait partie d’un triptyque de pirates informatiques qui, depuis plusieurs mois, bousculent la cybersphère hexagonale. Sous le pseudonyme HexDex, ce pirate revendique des dizaines d’intrusions, de piratages et de fuites de données.
Accès ou maintien frauduleux dans un système informatique
Selon l’article 323-1 du Code pénal, le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système informatique est puni de trois ans d’emprisonnement et 100 000 euros d’amende.
Source : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000047052655
Entrave ou perturbation du fonctionnement d’un système
L’article 323-2 vise les attaques qui bloquent ou perturbent un système informatique (par exemple certaines attaques par déni de service). Ces faits sont punis de cinq ans d’emprisonnement et 150 000 euros d’amende.
Source : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000047052666
Modification, suppression ou introduction frauduleuse de données
L’article 323-3 concerne l’altération ou l’introduction de données dans un système informatique, notamment lors d’exfiltration ou de sabotage de bases de données. La peine peut atteindre cinq ans d’emprisonnement et 150 000 euros d’amende.
Source : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000047052671
Circonstance aggravante : la bande organisée
Lorsque les faits sont commis par un groupe structuré préparant l’infraction, la justice peut retenir la qualification de bande organisée, définie par l’article 132-71 du Code pénal. Les sanctions peuvent alors être aggravées en raison de la préparation et de la coordination des attaques.
Source : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006417181
Ces dispositions constituent aujourd’hui le socle juridique utilisé par les enquêteurs spécialisés en cybercriminalité pour poursuivre les auteurs d’intrusions, de vols de données ou d’attaques visant des infrastructures numériques.
En Europe
Dans l’Union européenne, les infractions liées au piratage sont largement harmonisées par la directive européenne sur les attaques contre les systèmes d’information. L’accès frauduleux à un système informatique, l’extraction de données ou leur diffusion peuvent entraîner plusieurs années de prison, souvent entre 3 et 10 ans selon la gravité, ainsi que des amendes importantes.
La coopération judiciaire est également très active grâce à des structures comme Europol, Eurojust et le mandat d’arrêt européen, ce qui facilite les arrestations et extraditions entre États membres.
En Afrique
La situation est très variable selon les pays. Plusieurs États ont adopté des lois inspirées de la Convention de Budapest sur la cybercriminalité. Dans certains pays (Maroc, Tunisie, Sénégal, Côte d’Ivoire, Kenya, Nigeria), le piratage informatique peut entraîner plusieurs années d’emprisonnement et des amendes significatives.
Cependant, les moyens d’enquête, la coopération judiciaire et la spécialisation des magistrats restent parfois limités, ce qui peut compliquer les poursuites transnationales.
À Dubaï (Émirats arabes unis)
Les Émirats arabes unis disposent de lois très strictes en matière de cybercriminalité. Les intrusions informatiques, la collecte et la diffusion de données peuvent entraîner de lourdes amendes et plusieurs années de prison.
Dans certains cas, les sanctions peuvent dépasser 5 ans d’emprisonnement, notamment si l’attaque vise une institution publique, une infrastructure critique ou si elle provoque un préjudice financier important. L’expulsion du territoire peut également être prononcée pour les étrangers.
En Asie
Les cadres juridiques sont très disparates. Dans des pays comme Singapour, le Japon ou la Corée du Sud, la cybercriminalité est sévèrement réprimée avec plusieurs années de prison et des amendes importantes.
En Chine, les sanctions peuvent être particulièrement lourdes lorsque les attaques visent des infrastructures stratégiques ou entraînent des pertes importantes.
Dans certains États d’Asie du Sud-Est, les lois existent mais leur application dépend fortement des capacités locales d’enquête et de coopération internationale.
Un facteur clé : la coopération internationale
Dans la pratique, ce n’est pas seulement la loi locale qui détermine le risque pour un pirate, mais aussi la coopération policière internationale. Les enquêtes sur les fuites de données impliquent souvent plusieurs pays, et les arrestations peuvent intervenir des mois ou des années après les faits, comme nous avons pu le voir avec LeakBase ou les anciennes versions de BreachForums, notamment lors de déplacements ou via des procédures d’extradition.
