Tchap : La messagerie sécurisée du gouvernement déjà touchée par une faille informatique

Sécurité

Par Henri le

Il n’a pas fallu attendre longtemps pour que la nouvelle application de messagerie des agents de l’État connaisse son premier couac. Et l’erreur est assez grossière.

Avec Tchap, la France se dote désormais d’un outil de messagerie instantanée à destination du gouvernement et du personnel travaillant dans les ministères et l’administration. Il faut d’ailleurs disposer d’une adresse de type @gouv.fr ou @elysée.fr pour profiter de cette plateforme chiffrée. L’ensemble est basé sur une technologie standardisée baptisée Matrix.

Un bon moyen de se séparer de services comme WhatsApp ou Telegram, qui ne proviennent pas de l’hexagone. La mise en place de Tchap permet donc de ne plus stocker d’informations sensibles à l’étranger. Encore faut-il que la sécurité soit irréprochable.

Quelques heures seulement après son lancement, le service a fait l’objet d’un piratage « amical » provenant d’un chercheur en sécurité informatique français. L’homme en question se nomme Elliot Alderson et il a tout simplement eu accès au service en ajoutant le terme « @elysée » à la fin de son adresse mail personnelle. Il a donc apostrophé le service adéquat sur Twitter pour signaler le problème.

Il a par la suite expliqué sa démarche à BFM Tech.

« Du fait d’un problème de filtrage sur l’adresse email lors de l’inscription, j’ai réussi à m’inscrire sur l’application en tant qu’employé de l’Élysée sans avoir d’adresse mail officielle. J’ai ainsi eu accès à tous les salons et profils publics »

Une faille assez évidente qui a rapidement été corrigée par la direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC). On imagine que certains employés ont quand même du se faire souffler dans les bronches.