L'Etat français déploie sa messagerie Tchap... et on a déjà détecté une grosse faille

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 19 avril 2019 à 14h01

La messagerie Tchap, créée par l'État pour remplacer les célèbres WhatsApp et Telegram, était déjà exposée à une énorme faille à peine quelques heures après son lancement.

C'est ce qu'on appelle un faux départ. Alors qu'il faisait face à l'impossibilité d'installer des messageries comme Telegram ou WhatsApp sur les smartphones professionnels, l'État français avait lancé le projet Tchap, expérimenté depuis juillet 2018, destiné à équiper les membres du gouvernement et leurs collaborateurs. Lancée ce 17 avril, la messagerie sécurisée du gouvernement s'avère déjà truffée de failles. Pas vraiment rassurant...

Quand Tchap fait Pschitt

Elliot Alderson, le célèbre chercheur français en sécurité qui se revendique lui-même comme étant le pire cauchemar de Oneplus, Wiko, UIDAI, Kimbho ou Donald Daters, a interpellé le gouvernement après avoir pu accéder très (trop) facilement à l'application, a priori réservée à celles et ceux qui bénéficient d'une adresse mail de type @elysee.fr ou @gouv.fr.

Dans un premier temps, Elliot Alderson a découvert que l'application est open source. Cela n'est pas une surprise, c'est même clairement indiqué et détaillé sur le site de l'application. L'État a fait le choix des logiciels libres pour créer la messagerie, qui se base ainsi sur le système de communication libre Riot, conçu par l'équipe franco-britannique New Vector, et le protocole de communication standardisé Matrix, issu de cette même équipe.

Alertée, les équipes de l'application ont déployé un correctif

Cela tombe bien : Alderson adore l'open source ! En profitant d'un problème de filtrage sur l'adresse électronique lors de l'inscription, il a ainsi pu s'inscrire sur l'application comme employé de l'Élysée sans même disposer d'une adresse mail officielle. Le spécialiste a intercepté les échanges opérés entre le formulaire d'inscription et les serveurs. Après une ou deux tentatives, il a pu inscrire son mail personnel en ajoutant les suffixes @protonmail.com @presidence, puis @elysee.fr, celui qui lui manquait.

Le mail de confirmation reçu par Elliot Alderson

C'est ainsi qu'en quelques minutes, le chercheur a pu s'inscrire sur la « messagerie sécurisée » du gouvernement, recevoir un email de confirmation et naviguer tranquillement sur cette dernière, avec un accès total. Les membres liés au gouvernement ne manquent en tout cas pas d'imagination. Un employé du ministère de l'Agriculture a notamment créé un « Salon jaune », pour « ceux qui aiment le jaune. »

Évidemment, le chercheur en sécurité a rapidement contacté les responsables de Tchap, qui ont été réactifs en procédant à la correction du problème moins de trois heures après avoir été prévenus. L'équipe de l'application invite ses utilisateurs, dans un billet de blog, à procéder à sa mise à jour.

L'humour à la française :)

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

KaspOu

Alerte aux dévs sérieux… C’est pas comme si on ne trouvait pas partout en cherchant 2 secondes une expression régulière correcte pour vérifier le format des emails…

Popoulo

A l’image de la France et surtout de son gouvernement.

thibotus01

Meme le site: http://www.tchap.fr/
n’est pas sécurisé. Pas de https. dispo
Ergonomie et design du site: zéro pointé.
Un logo à la qualité douteuse. Compressé à mort.

C’est ca le niveau des devs. français ?

chickenwing

J’avoue le site c’est chaud ! En plus un wordpress pour ça ?
J’aurais honte d’avoir fait ça…

Et surtout j’aimerais bien savoir combien a couté cette m****

Sergentpitt

Hahah tellement vrai !

le-tof

sur le site de tchap, à la question “Quel est le budget du projet Tchap ?”, du blabla de politicard et pas de réponse chiffré.

megadub

Ce site est juste une présentation de l’appli, c’est quoi l’intérêt du HTTPS ? C’est vraiment critiquer pour critiquer là, c’est ridicule.

En plus, ce n’est pas du tout un site officiel… pour un champion de la critique t’aurais au moins pu te fendre d’un whois.

megadub

Si tu lis la réponse, tu comprends vite que ce site n’a rien d’officiel.

megadub

toi qui est si fort, fais donc un whois… ce site a été monté à l’arrache et n’a rien d’officiel. C’est quand même pas compliqué de voir que c’est pas le domaine gouv.fr.

domde

C’est pas les talents qui manquent en France ! Le gouvernement s’entourent malheureusement de personne incompétentes, ou peut-être bien est-ce dû à du copinage ?