Accueil » Actualité » Tchap : la nouvelle messagerie du gouvernement pas si sécurisée

Tchap : la nouvelle messagerie du gouvernement pas si sécurisée

À peine lancée, l’application de messagerie du gouvernement est déjà victime d’un bug de sécurité.

Lancée le 17 avril, Tchap a déjà connu sa première faille de sécurité.

Tchap, c’est le nouveau service de messagerie instantanée créé pour le gouvernement. Il est sensé permettre à tous les fonctionnaires de l’Etat de communiquer entre eux de manière sécurisée.

Quelques heures seulement après la mise en service de Tchap, un chercheur en sécurité connu sous le nom de Baptiste Robert, a réussi à infiltrer l’application et à accéder aux conversations soi-disant sécurisées.

Image 1 : Tchap : la nouvelle messagerie du gouvernement pas si sécurisée

Le plus étonnant est la simplicité déconcertante avec laquelle il est parvenu à se connecter à la messagerie. En effet, la connexion à Tchap requiert uniquement une adresse e-mail gouvernementale. L’application étant complètement open source, Baptiste Robert a donc simplement exploité une faille dans le système de filtrage des adresses e-mails. Il a ensuite utilisé une fausse adresse avec le nom de domaine @elysee.fr et le tour était joué.

Le chercheur a immédiatement alerté les services concernés et l’agence responsable du développement de l’application. Le bug a été résolu rapidement et un porte-parole du DINSIC (Direction Interministérielle du Numérique et du Système d’Information et de Communication du gouvernement) a déclaré qu’il s’agissait d’un « bug de jeunesse » et qu’il y en aurait sûrement d’autres, l’application étant toujours dans « une phase de démarrage ».

>>> Oups ! Facebook a téléchargé les contacts de 1,5 million d’utilisateurs « par erreur »