BFM Tech

Tchap, la messagerie sécurisée du gouvernement victime d’une faille de sécurité

Edouard Philippe à l'Assemblée nationale le 2 avril 2019

Edouard Philippe à l'Assemblée nationale le 2 avril 2019 - BFMTV

Un spécialiste en cybersécurité est parvenu à accéder à l’application Tchap sans y être autorisé. Le tout quelques heures à peine après son lancement.

Il n’aura fallu que quelques heures pour que Tchap, la nouvelle application de messagerie sécurisée du gouvernement, montre sa première limite. Lancée ce 17 avril, Tchap est censé remplacer Telegram pour héberger les conversations sécurisées des membres du gouvernement et de leurs équipes. Sur le papier, une adresse mail de type @gouv.fr ou @elysee.fr est indispensable pour s’inscrire sur la plateforme. Sauf qu’un tour de passe-passe permettait à n’importe qui de profiter du service.

Un accès en quelques minutes

Ce 18 avril, le spécialiste en cybersécurité Elliot Alderson alertait sur Twitter d’une faille de sécurité concernant Tchap. “En théorie, l’application est réservée aux employés du gouvernement, donc aux personnes possédant une adresse mail en gouv.fr ou en elysee.fr. Du fait d’un problème de filtrage sur l’adresse email lors de l’inscription, j’ai réussi à m’inscrire sur l’application en tant qu’employé de l’Elysée sans avoir d’adresse mail officielle. J’ai ainsi eu accès à tous les salons et profils publics”, explique-t-il à BFM Tech.

-
- © -

Pour effectuer cette manœuvre, Elliot Alderson a intercepté les échanges entre le formulaire d’inscription de l’application et les serveurs. Une fois l’opération effectuée, il n’a eu qu’à inscrire son adresse mail personnelle, à laquelle il a ajouté le suffixe @elysee.fr. Ce qui a semble-t-il suffi à Tchap pour l’identifier comme salarié de l’Elysée, et lui envoyer un email de confirmation - cette fois à son adresse authentique. En quelques minutes, il a ainsi pu obtenir un accès total à l’application.

Le spécialiste a rapidement alerté les responsables de Tchap, dont le service de messagerie est basé sur une technologie standardisée baptisée Matrix.

D’après l’équipe de Matrix, la faille, qui était spécifique à l’application développée avec le gouvernement, a rapidement été corrigée. "La messagerie vient d’être lancée, il s’agit d’une phase de démarrage. Le plus important est que l’on ait pu identifier et corriger cette faille au plus vite" complète une porte-parole de la direction interministérielle du numérique et du système d'information et de communication de l'Etat (DINSIC) interrogée par BFM Tech.

Raphael Grably et Elsa Trujillo