Le vendredi 19 avril 2019 à 14:51
Aussitôt lancée, aussitôt piratée. Les débuts de l’application Tchap ont de quoi décevoir. Pour une messagerie « sécurisée » destinée aux membres du gouvernement, cette faille peut surprendre.
Quelques heures à peine après son lancement, l’application « Tchap » a été victime d’une infiltration par une faille de sécurité. Heureusement pour le gouvernement, le hacker à l’origine de l’intrusion est un « white hat » (un spécialiste en cybersécurité bienveillant en jargon informatique, ndlr). Le hacker a rapidement prévenu les services de sécurité de l’État de sa découverte.
Une application de messagerie chiffrée
Le service « Tchap » a été mis en ligne le 17 avril pour permettre aux responsables du gouvernement de discuter de manière sécurisée. Selon plusieurs médias, certains d’entre eux utilisaient la messagerie Telegram, développée en 2013 par les frères Nikolaï et Pavel Dourov, de nationalité russe.
L’application « Tchap », de conception française est destinée à garder la main sur la sécurité des échanges.
Il pénètre sur le réseau de manière indue
Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible.@Elysee @gouvernementFR @EPhilippePM @EmmanuelMacron comment puis je vous contacter? C’est TRÈS TRÈS urgent.
Si vous avez des contacts je suis preneur.
— Elliot Alderson (@fs0c131y) April 18, 2019
Un spécialiste en cybersécurité est parvenu à s’introduire sur la messagerie réservée aux membres du gouvernement, sans autorisation. Pour ce faire, il a écouté les échanges entre l’ordinateur et le serveur de Tchap.
Il explique auprès de BFMTV : « En théorie, l’application est réservée aux employés du gouvernement, donc aux personnes possédant une adresse mail en gouv.fr ou en elysee.fr. Du fait d’un problème de filtrage sur l’adresse email lors de l’inscription, j’ai réussi à m’inscrire sur l’application en tant qu’employé de l’Elysée sans avoir d’adresse mail officielle. J’ai ainsi eu accès à tous les salons et profils publics ».
Un porte-parole de la direction interministérielle du numérique et du système d'information et de communication (DINSIC) a l’origine du projet se défend : « La messagerie vient d’être lancée, il s’agit d’une phase de démarrage. Le plus important est que l’on ait pu identifier et corriger cette faille au plus vite ». Espérons que cette messagerie dite « sécurisée » fera rapidement ses preuves.