La Direction interministérielle du numérique (Dinum) a signalé un piratage visant Tchap, la messagerie sécurisée pour l’ensemble de la fonction publique. Le point le plus sensible ne tient pas à une intrusion dans l’infrastructure centrale, mais à l’usage d’un compte usurpé sur un service où les salons publics restent accessibles sans chiffrement de bout en bout.
L’incident paraît limité à un compte utilisateur qui a pu servir à consulter des salons publics hébergés sur la plateforme. Tchap repose bien sur le protocole Matrix, mais l’implémentation retenue pour l’outil de l’État ne chiffre pas les conversations publiques.
Le 7 juin, l’ANSSI a détecté « une compromission du service Tchap de messagerie instantanée chiffrée de l’État, à la suite d’une usurpation de compte ». La Dinum indique que le compte à l’origine des requêtes malveillantes a été identifié puis bloqué immédiatement afin de couper l’accès persistant du hacker et de permettre une analyse approfondie des données potentiellement consultées.
L’enquête technique se poursuit autour des journaux d’événements. L’objectif est double : établir quelles conversations ont pu être consultées et déterminer la nature des données éventuellement exfiltrées. Le dossier entre donc dans une phase précise, avec un travail de traçage destiné à mesurer l’exposition réelle.
La Dinum a parallèlement diffusé un rappel à l’ensemble des utilisateurs de Tchap. L’administration souligne qu’un salon public peut être trouvé et rejoint par tout utilisateur, et que son contenu n’est pas chiffré. Cette mise au point vaut aussi comme un rappel : aucune information personnelle, sensible ou couverte par le secret professionnel ne doit transiter dans ces espaces, ces échanges devant être réservés aux salons privés.
Un incident qui touche la crédibilité d’un outil d’État
Ce rappel général montre que l’incident dépasse le seul compte compromis. Tchap occupe une place particulière dans l’appareil administratif, puisqu’il constitue la messagerie sécurisée de référence pour la fonction publique. Dès lors, toute faille liée à l’usage des salons publics touche directement la confiance accordée à l’outil et à ses règles de fonctionnement.
La Dinum indique en outre avoir notifié l’incident à la CNIL. Ce signalement inscrit l’affaire sur un terrain plus large que la seule enquête technique, avec une dimension de protection des données et de conformité.
En parallèle du circuit officiel, une annonce publiée sur un forum dédié aux hackers revendique l’exfiltration de nombreuses données issues de Tchap. Le message évoque les profils de 73 000 agents avec des informations professionnelles comme l’adresse e-mail ou l’institution de rattachement, un ensemble de 643 000 messages et de nombreux fichiers multimédias.
3 commentaires pour cet article :