Download_on_the_App_Store_Badge_FR_RGB_blk_100517

Une faille trouvée dans Tchap, l'appli de messagerie cryptée du gouvernement, seulement quelques heures après son lancement

  • Recevoir tous les articles sur ce sujet.

    Vous suivez désormais les articles en lien avec ce sujet.

    Ce thème a bien été retiré de votre compte

Une faille trouvée dans Tchap, l'appli de messagerie cryptée du gouvernement, seulement quelques heures après son lancement
© REUTERS/Philippe Wojazer

Tchap, la nouvelle messagerie sécurisée française à destination des agents des services de l'Etat, vient seulement d'être lancée ce mercredi 17 avril, et elle est déjà critiquée. Censée remplacer les services tels que Telegram et WhatsApp, qui sont basés à l'étranger, elle permet d'échanger des messages cyptés de bout en bout et, surtout, est hébergée sur des serveurs de l'Etat, dans une optique de souveraineté, comme l'explique Numerama.

Baptiste Robert, développeur Android et spécialiste de la cybersécurité, a néanmoins tiré la sonnette d'alarme ce jeudi 18 avril sur Twitter, où il est présent sous le pseudonyme Elliot Anderson. "Je viens de regarder Tchap, la nouvelle appli sécurisée du gouvernement français. Et, put*** le résultat est horrible", écrit-il. Contacté par 01Net, il indique avoir prévenu les services de l'Etat et les développeurs du protocole derrière l'appli. "Il va sans dire. N'utilisez pas cette appli", prévient-il ensuite.

Dans l'après-midi, les développeurs du protocole Matrix ont annoncé, sur Twitter, avoir mis en place un patch pour régler le problème. Ils affirment que la faille n'a pas été exploitée.

Baptiste Robert raconte à 01Net que, alors que l'application est normalement "réservée aux employés du gouvernement, en d’autre termes les personnes possédant une adresse e-mail en gouv.fr ou en elysee.fr", il a pu "s'inscrire en tant qu'employé de l'Elysée, sans avoir d'adresse e-mail officielle". L'ingénieur a ainsi pu accéder "à tous les salons publics, les profils des gens inscrits, etc."

Le projet a été piloté par la Direction interministérielle du numérique et du système d'information et de communication de l'État (Dinsic), et porté par la startup franco-britannique New Vector, en collaboration avec Thales et l’Agence nationale de la sécurité des systèmes d’information, rapporte Numerama.

D'autres internautes font également remarquer que Tchap aurait recours au service de notifications push de Google, baptisé Firebase Messaging. Cela ne poserait pas de problème pour la confidentialité des messages, précise 01Net, mais pourrait présenter un risque pour les métadonnées. De plus, cela pourrait trahir l'esprit "souverain" de cette appli.

Contactée par Business Insider France, la Dinsic n'a pas encore répondu à notre demande de réaction à ce sujet.

Découvrir plus d'articles sur :