FFBB piratée : 2 millions de licenciés exposés, le hacker HexDex écroué

La Fédération française de basket ^[1] a annoncé jeudi 30 avril ^[2] avoir été « victime d’un incident de sécurité informatique » remontant au 17 avril ^[3]. L’attaque a entraîné l’extraction non autorisée de données personnelles pouvant concerner jusqu’à 2 millions de licenciés ^[4], auxquelles s’ajoutent environ 900 000 données supplémentaires concernant des représentants légaux ^[5] - autrement dit des parents de mineurs inscrits en club.

LES ENJEUX

Une fuite massive touchant des familles

Jusqu'à 2 millions de licenciés et entre 800 000 et 900 000 représentants légaux exposés: adresses, e-mails, téléphones de mineurs et de leurs parents en circulation sur le dark web.

Une attaque banale aux conséquences disproportionnées

Un simple compte utilisateur compromis a suffi à siphonner la base entière, via le module de gestion des éditions. La question du cloisonnement reste sans réponse.

HexDex, profil et motivations

Un homme de 21 ans, né en août 2004, mis en examen pour quinze fédérations sportives piratées, plus la police nationale, le fichier des armes à feu et l'Éducation nationale. Motivation assumée: gagner de l'argent, sans limite.

Un risque concret de phishing ciblé

Les données permettent de crédibiliser des arnaques par SMS et e-mail visant directement les familles, alertent la FFBB et les chercheurs en cybersécurité.

La France, vulnérabilité systémique

Au premier trimestre 2026, la France est classée deuxième pays le plus touché par les fuites de données. Mutualisation des outils, sous-investissement en cybersécurité, faible cloisonnement: la FFBB s'inscrit dans une vague qui frappe aussi l'ANTS et 12 millions de comptes citoyens.

Les pirates ont aspiré les données d’identité (nom, prénom, date de naissance) ^[6], les coordonnées (adresse postale, e-mail, téléphone) ^[7] ainsi que les données de licence et d’appartenance à un club ^[8]. La FFBB assure qu’aucune donnée bancaire, aucun mot de passe ni aucune donnée de santé ou sensible n’ont été compromis ^[9].

Une porte d’entrée banale, un dégât maximal

L’origine de l’attaque relève d’une mécanique connue: « un accès frauduleux à un compte utilisateur a permis l’exploitation détournée de l’outil fédéral de gestion des licenciés » ^[10], au travers du module de gestion des éditions ^[11]. Pas de zero-day spectaculaire, pas de ransomware sophistiqué: un identifiant compromis a suffi à siphonner la base.

L’incident a été détecté dans la soirée du vendredi 17 avril 2026 ^[12]. Une cellule de crise a été activée ^[13], et les fichiers diffusés sur le dark web ^[14] ont été retirés à compter de l’arrestation du suspect ^[15]. Sur la chronologie de l’interpellation, les sources divergent légèrement: la FFBB date l’arrestation et la suppression des fichiers du 21 avril 2026 ^[15], quand le parquet de Paris et plusieurs sources judiciaires situent l’interpellation au lundi 20 avril en Vendée ^[16], la suppression effective des fichiers ayant pu intervenir le lendemain. La fédération reconnaît néanmoins qu’« il n’est pas exclu que d’autres personnes aient pu accéder, télécharger ou conserver tout ou partie de ces données avant leur suppression » ^[17].

HexDex, 21 ans, interpellé en Vendée

Le pirate se cache derrière le pseudonyme HexDex ^[18]. Un homme de 21 ans ^[19], né en août 2004 ^[20], interpellé lundi 20 avril 2026 en Vendée ^[16], alors qu’il s’apprêtait à publier de nouvelles données confidentielles ^[21]. L’opération a été menée par la Brigade de lutte contre la cybercriminalité de la préfecture de police de Paris ^[22], en lien avec la section cyber J3 du parquet de Paris ^[23].

Le 23 avril ^[24], il a été mis en examen et placé en détention provisoire ^[25], notamment pour « infractions d’accès et maintien dans un système de traitement automatisé de données en bande organisée » ^[26], extraction et transmission frauduleuse de données ^[27], et entrave au fonctionnement d’un système mis en œuvre par l’État ^[28]. Son compte sur Darkforum ^[29] et son matériel informatique ^[30] ont été saisis. Il a reconnu l’utilisation du pseudonyme ^[31].

Ces qualifications renvoient, selon plusieurs sources, à la loi Godfrain de 1988, codifiée aux articles 323-1 et suivants du Code pénal. L’article 323-1 réprime l’accès frauduleux à un système de traitement automatisé de données. L’article 323-3 vise l’extraction et la transmission frauduleuse de données. La circonstance aggravante de bande organisée, prévue à l’article 323-4-1, alourdit la sanction. L’entrave au fonctionnement d’un système mis en œuvre par l’État, retenue ici en raison du piratage du fichier des armes et de la plateforme de formation de la police, relève de l’article 323-2.

Le préjudice financier, angle mort de l’enquête

Dans une interview au site Zataz.com en mars 2026 ^[32], HexDex assumait sa motivation: « gagner de l’argent » ^[33]. Et ajoutait: « je n’ai aucune limite » ^[34]. Sa méthode, selon les enquêteurs, consistait à revendre les bases extraites sur les plateformes spécialisées du darknet, BreachForums ^[35] et Darkforum ^[36].

Reste l’inconnue: combien HexDex a-t-il effectivement gagné? Ni le parquet, ni la FFBB, ni les sites spécialisés n’ont à ce jour publié de prix de vente, de nombre de transactions abouties, ni d’estimation du chiffre d’affaires criminel. Le matériel informatique saisi à son domicile vendéen ^[30] devrait permettre d’éclairer ce point, mais à ce stade de l’enquête, le préjudice économique - pour le hacker comme pour les victimes - reste impossible à chiffrer.

Quinze fédérations sportives, la police, le fichier des armes

Le tableau de chasse de HexDex dépasse largement le basket. Le parquet de Paris lui attribue le piratage de quinze fédérations sportives ^[37] - voile, athlétisme, sport automobile, gymnastique, ski, rugby à XIII, aïkido, sport universitaire, montagne et escalade, handisport ^[38] -, mais aussi de la plateforme de formation en ligne de la police nationale ^[39] et du système d’information sur les armes (SIA), qui recense tous les propriétaires d’armes à feu en France ^[40].

Les syndicats CFDT et FO ^[41], des plateformes d’agents de l’Éducation nationale ^[42], des sites de banques alimentaires ^[43], la Philharmonie de Paris ^[44], la préfecture de Moselle ^[45] et plusieurs groupes hôteliers (Logis Hôtels France ^[46], Brithotel ^[47]) figurent également parmi les victimes. La section de lutte contre la cybercriminalité du parquet de Paris a reçu une centaine de signalements à partir du 19 décembre 2025 ^[48].

900 000 ou 800 000 parents? L’arbitrage des chiffres

La fédération communique sur « jusqu’à 2 millions de licenciés » ^[49]. Le site spécialisé FrenchBreaches, qui a analysé l’échantillon mis en vente, avance un total de près de 2,7 millions de Français exposés ^[50]: 1 926 409 membres ^[51], environ 800 000 parents associés ^[52] et 1 513 270 numéros de téléphone ^[53].

L’écart de 100 000 personnes sur le nombre de représentants légaux - 900 000 selon la FFBB ^[5], 800 000 selon FrenchBreaches ^[52] - s’explique par deux logiques de comptage distinctes. La fédération raisonne en données administratives: tout tuteur légal enregistré dans son système de licence est comptabilisé, y compris ceux dont les coordonnées sont incomplètes ou redondantes. FrenchBreaches, à l’inverse, dénombre les « parents associés » effectivement présents dans l’échantillon de la base mise en vente, ce qui exclut mécaniquement les doublons et les fiches partielles. La fourchette réelle se situe donc entre 800 000 et 900 000 représentants légaux exposés, sans que la FFBB n’ait à ce jour confirmé le total avancé par les analystes indépendants.

Le risque réel: phishing ciblé

Kévin Tellier, chercheur en cybersécurité ^[54], résume l’enjeu: « Ça peut être réutilisé pour du phishing, pour toutes les arnaques que vous allez recevoir par SMS, où on va vous dire: il y a un colis qui a été livré avec votre adresse, votre nom, potentiellement plusieurs autres informations personnelles qui permettent de crédibiliser l’attaque » ^[55]. La FFBB elle-même alerte: « Un acteur malveillant pourrait chercher à usurper l’identité de la FFBB et essayer d’obtenir des données supplémentaires (vos identifiants, des informations bancaires, etc.) » ^[56].

L’angle mort que personne ne souligne: la base contient des mineurs et leurs parents. Un licencié mineur, son adresse, le nom de sa mère, son téléphone - matière première rêvée pour des arnaques ciblant directement les familles via le club de basket. Le risque ne se limite pas au phishing générique; il rend possible un harponnage (« spear phishing » ^[57]) personnalisé sur des familles entières.

Cadre légal: la FFBB face à ses obligations RGPD

Une notification de violation de données a été transmise à la Commission nationale de l’informatique et des libertés (CNIL) ^[58], conformément au Règlement général sur la protection des données (RGPD) ^[59]. Selon plusieurs sources, l’article 33 du RGPD impose à tout responsable de traitement de notifier la CNIL « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». L’incident ayant été détecté le 17 avril, la chronologie publique de la fédération - treize jours avant l’annonce aux licenciés - pourra être examinée cette obligation, étant précisé que la notification à la CNIL et l’information du public obéissent à deux régimes distincts (article 34 du RGPD pour cette dernière, déclenché en cas de risque élevé pour les droits et libertés des personnes).

En cas de manquement, selon plusieurs sources, l’article 83 du RGPD prévoit des amendes administratives pouvant atteindre des montants significatifs proportionnels au chiffre d’affaires. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a également été informée ^[60]. La FFBB engage les démarches en vue du dépôt d’une plainte et de sa constitution de partie civile ^[61]. Les licenciés sont invités à signaler tout abus sur cybermalveillance.gouv.fr ^[62] ou à contacter mesdonneesffbb@ffbb.com ^[63].

Pourquoi la France? Une vulnérabilité

L’affaire FFBB ne tombe pas du ciel. Au premier trimestre 2026, la France est le deuxième pays le plus touché au monde par les fuites de données ^[64]. La semaine précédant l’annonce de la FFBB, l’Agence nationale des titres sécurisés a elle aussi été piratée, près de 12 millions de comptes concernés ^[65]. Le ministère des Sports avait été ciblé dès décembre ^[66], la Fédération de tir en novembre ^[67].

Ces enchaînements ne relèvent pas du hasard. Trois fragilités structurelles expliquent l’exposition française. D’abord, la mutualisation des outils de gestion des licences: la plupart des fédérations sportives s’appuient sur des plateformes développées par un nombre restreint de prestataires, parfois communs, ce qui démultiplie la surface d’attaque dès qu’un identifiant fuite. Ensuite, le sous-investissement chronique en cybersécurité au sein des fédérations et de certaines administrations: la FFBB elle-même reconnaît qu’un seul compte utilisateur compromis a suffi à siphonner sa base entière, signe d’un cloisonnement insuffisant. Enfin, l’écosystème associatif et public manipule des bases comportant des mineurs, des coordonnées familiales, des données fiscales ou administratives - un cocktail particulièrement attractif sur les marchés du darknet.

Pour calibrer l’ampleur du sinistre, on se souvient, selon plusieurs sources, des grandes fuites françaises récentes ayant exposé des dizaines de millions de personnes (Free fin 2024, Viamedis et Almerys début 2024). La FFBB n’atteint pas ces volumes, mais s’inscrit dans la même dynamique: la France est devenue, dans les années récentes, l’un des principaux gisements de données personnelles ciblés par la cybercriminalité internationale. Le coût mondial des cyberattaques pourrait atteindre 12 000 milliards de dollars ^[68] dans les années à venir.

Ce que les sources ne disent pas

Trois questions cruciales restent sans réponse. Combien d’acheteurs ont récupéré la base avant sa suppression? Quel prix HexDex demandait-il sur BreachForums et Darkforum? Et surtout: pourquoi un identifiant fédéral donnait-il accès à l’intégralité de la base des licenciés sans cloisonnement? La FFBB n’a pas détaillé l’architecture technique qui a permis qu’un seul compte compromis fasse autant de dégâts. Tant que cette réponse manque, rien ne garantit qu’une seconde fuite, par un autre vecteur, ne se produise pas demain.

► Lire aussi: Cybercriminalité: la France, deuxième pays le plus touché au monde