La messagerie instantanée Tchap, réservée aux agents du service public, a été compromise à la suite de l’usurpation d’un compte légitime. Un pirate revendique une prise de 643 459 messages et de plus de 59 000 fichiers.
Nouveau revers pour la sécurité des services numériques de l’État français. Après le piratage récent de l’ANTS, c’est au tour de la messagerie Tchap d’être compromise. Alors qu’un cybercriminel revendiquait avoir intercepté un volume conséquent de données, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a confirmé la compromission.
Généralisé depuis septembre 2025, Tchap est présenté comme “une messagerie instantanée souveraine”. Basée sur le protocole de messagerie décentralisée Matrix, elle est censée sécuriser les conversations des agents de l’Etat et renforcer la souveraineté numérique. Ses défenses ont toutefois été percées par un cybercriminel qui explique avoir réussi à s’infiltrer via un compte utilisateur légitime lié à l’Education nationale.
La messagerie Tchap ciblée, de nombreuses données auraient été interceptées
De son côté, la direction interministérielle du numérique (DINUM) précise que “le compte à l’origine des requêtes malveillantes a été immédiatement bloqué afin de supprimer l’accès persistant de l’attaquant et permettre une analyse approfondie des données auxquelles il a pu accéder”. La CNIL a été notifiée et l’enquête suit son cours.
Selon la revendication du pirate, 73 467 comptes d’agents publics, 643 459 messages et 876 salons avec un historique accessible auraient été collectés (sur une période allant de juin 2023 à juin 2026). Le cybercriminel aurait également dérobé plus de 59 000 fichiers multimédia, des liens Zoom, des codes Webex, des scripts PowerShell, des références à des annuaires internes, des identifiants techniques et des mentions “Diffusion Restreinte”.
Autant d’informations qui pourraient potentiellement permettre de mener des campagnes de phishing contre des agents publics, procéder à des usurpations d’identité, collecter des renseignements sur les administrations, diffuser des documents internes ou encore préparer des attaques ciblées contre certaines institutions.
Dans son communiqué, la DINUM tente de rassurer en expliquant que les conversations privées sur Tchap sont protégées : “Même dans le cas d’une usurpation de compte, l’historique des conversations privées et chiffrées n’est pas accessible. Les échanges susceptibles d’avoir été consultés se limitent donc au contenu des conversations publiques”. Il est toutefois possible que des informations sensibles aient été partagées dans des salons publics en raison du manque de vigilance de certains agents.
La DINUM a d’ailleurs transmis un message sous forme de rappel aux utilisateurs de Tchap. Celui-ci souligne “qu’une conversation publique (ou “salon public”) peut être trouvée et rejointe par tout utilisateur et que son contenu n’y est pas chiffré. Conformément aux modalités d’utilisation de Tchap, aucune information personnelle, sensible ou couverte par le secret professionnel ne doit y être échangée”.
Le chiffrement de bout en bout est inopérant dès lors qu’un compte légitime est compromis
Pour le moment, la prudence est de mise, dans l’attente d’une vérification indépendante. “Il s’agit d’une revendication. Rien ne permet encore d’affirmer que tous les chiffres sont exacts, ni que tous les contenus annoncés sont sensibles”, tempère l’expert en cybersécurité Christophe Boutry. Quoi qu’il en soit, l’Etat devra se remettre au travail pour sécuriser efficacement sa plateforme en se posant les bonnes questions.
Car si le chiffrement de bout en bout est efficace contre certains accès non autorisés, il ne peut pas empêcher un compte compromis de consulter ce qu’il a droit de consulter. “Matrix est un protocole puissant, pensé pour la fédération, l’interopérabilité et le chiffrement. Mais comme toute infrastructure collaborative, sa sécurité dépend énormément de sa configuration et de sa gouvernance”, explique Christophe Boutry
Et de lister plusieurs questions légitimes auxquelles la direction interministérielle du Numérique devra répondre : “Qui peut voir l’annuaire ? Qui peut rejoindre quels salons ? Un nouvel entrant peut-il lire l’historique ? Les médias sont-ils protégés par l’appartenance au salon ? Les pièces jointes sensibles sont-elles contrôlées ? Les salons publics internes sont-ils audités ?”
