Une faille trouvée dans Tchap, l'appli de messagerie cryptée du gouvernement, seulement quelques heures après son lancement

Emmanuel Macron le 2 avril 2019. REUTERS/Philippe Wojazer

Tchap, la nouvelle messagerie sécurisée française à destination des agents des services de l'Etat, vient seulement d'être lancée ce mercredi 17 avril, et elle est déjà critiquée. Censée remplacer les services tels que Telegram et WhatsApp, qui sont basés à l'étranger, elle permet d'échanger des messages cyptés de bout en bout et, surtout, est hébergée sur des serveurs de l'Etat, dans une optique de souveraineté, comme l'explique Numerama.

Baptiste Robert, développeur Android et spécialiste de la cybersécurité, a néanmoins tiré la sonnette d'alarme ce jeudi 18 avril sur Twitter, où il est présent sous le pseudonyme Elliot Anderson. "Je viens de regarder Tchap, la nouvelle appli sécurisée du gouvernement français. Et, put*** le résultat est horrible", écrit-il. Contacté par 01Net, il indique avoir prévenu les services de l'Etat et les développeurs du protocole derrière l'appli. "Il va sans dire. N'utilisez pas cette appli", prévient-il ensuite. 


Dans l'après-midi, les développeurs du protocole Matrix ont annoncé, sur Twitter, avoir mis en place un patch pour régler le problème. Ils affirment que la faille n'a pas été exploitée.


Baptiste Robert raconte à 01Net que, alors que l'application est normalement "réservée aux employés du gouvernement, en d’autre termes les personnes possédant une adresse e-mail en gouv.fr ou en elysee.fr", il a pu "s'inscrire en tant qu'employé de l'Elysée, sans avoir d'adresse e-mail officielle". L'ingénieur a ainsi pu accéder "à tous les salons publics, les profils des gens inscrits, etc."

Le projet a été piloté par la Direction interministérielle du numérique et du système d'information et de communication de l'État (Dinsic), et porté par la startup franco-britannique New Vector, en collaboration avec Thales et l’Agence nationale de la sécurité des systèmes d’information, rapporte Numerama.

D'autres internautes font également remarquer que Tchap aurait recours au service de notifications push de Google, baptisé Firebase Messaging. Cela ne poserait pas de problème pour la confidentialité des messages, précise 01Net, mais pourrait présenter un risque pour les métadonnées. De plus, cela pourrait trahir l'esprit "souverain" de cette appli.

https://twitter.com/newsoft/status/1118540802928599041

Contactée par Business Insider France, la Dinsic n'a pas encore répondu à notre demande de réaction à ce sujet.

Vous avez apprécié cet article ? Likez Business Insider France sur Facebook !

Lire aussi : Ketchup, tabac, consoles de jeu... Ces produits américains que l'Union européenne menace de taxer en raison des aides accordées à Boeing

VIDEO: Le roller derby est un des sports qui se développe le plus rapidement dans le monde — voici comment on y joue