Tchap, la messagerie de l'Etat français mise à mal [EDIT]

Le jeudi 18 avril 2019 est une date que la direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC) préférera oublier car, cette date est celle du lancement par la DINSIC de Tchap, la messagerie instantanée sécurisée destinée à tous les agents de la fonction publique.

Tchap, kesako ?

Disponible pour iOS et Android, l’application a été développée avec du code open source par une start-up franco-britannique du nom de New Vectoriel. Son nom, Tchap, vient de monsieur Claude CHAPPE, inventeur du sémaphore. Pour l’utiliser, il faut obligatoirement disposer d’une adresse mail se terminant par « .gouv.fr » ou être invité. Les conversations sous forme de messages textes (les appels audio et vidéos sont à venir) sont chiffrées de bout en bout et stockées sur des serveurs appartenant à l’état.



 

Le souci ?

Comme évoqué plus haut, l’application n’a vocation qu’à être utilisée par les agents de la fonction publique...
Sauf que, le jour de son lancement, le chercheur en sécurité Baptiste ROBERT (alias Elliot ANDERSON ou @fs0131y) a découvert une faille permettant a tout un chacun de se connecter à la messagerie...

Il suffit simplement d’ajouter à son adresse de connexion @presidence@elysee.fr.

De son côté, Matrix (le protocole de communication utilisé par l’app), a vite déployé un correctif a indiqué que la faille n’a pas été exploitée. Reste maintenant à déployer la mise à jour dans l’application.

Qu’en pensez-vous ? La France perd t-elle sa crédibilité en matière de cyber sécurité ?

EDIT : l'état a faire parvenir un communiqué à notre rédaction pour expliquer qu'elle avait rapidement réagit et qu'aucune donnée n'avait été compromise :



Le 18 avril, un informaticien connu sur les réseaux sociaux sous le pseudonyme Elliot Alderson, signale via Twitter avoir détecté une faille sur Tchap.

Dès signalement, l’équipe en charge de Tchap a pris contact avec lui et a aussitôt désactivé la fonctionnalité de création de compte touchée par cette faille. En quelque heures, la faille a été corrigée et la fonctionnalité rétablie.

La faille en question provenait d’un module open source Python utilisé par Tchap et servant au filtrage des adresses mails dans la création de compte (l’application étant réservée aux agents de l’État avec une adresse professionnelle).

En exploitant cette faille, Elliot Alderson a pu se créer un compte et rentrer dans l’application.
[...]
Il n’a eu accès à aucune information confidentielle, ni aux coordonnées des agents.
Le compte d’Elliot Alderson a été supprimé.

La DINSIC rappelle que Tchap n’a pas vocation à traiter d’informations très sensibles : il s’agit d’une messagerie instantanée permettant aux agents de l’État d’échanger en temps réel sur les problématiques professionnelles du quotidien, en garantissant que les conversations restent hébergées sur le territoire national.


 

Télécharger l'app gratuite Tchap



Vous aimerez peut-être

Nos derniers articles

Suivez-nous avec notre app iSoft
Articles populaires
Donner votre avis
Les réactions

4 matt75000 - iPhone

19/04/2019 à 19h35 :

Perdre de la crédibilité mais en a t’elle déjà eu dans ce domaine

3 Teddy Smith - iPhone

19/04/2019 à 15h42 :

La french touch 😂

2 XIII - iPhone

19/04/2019 à 14h07 :

Etat, pas état

1 ljuba - iPhone

19/04/2019 à 12h36 :

Des guignols oui