Tchap : une faille déjà identifiée dans l’application de messagerie sécurisée du gouvernement

Tchap est la nouvelle application du gouvernement qui vise à sécuriser les échanges entre certains fonctionnaires du service public, histoire de rendre plus confidentielles les données souveraines de l’État. Mais chose étrange, moins de 24 heures après son lancement, un chercheur en sécurité française y a trouvé une importante faille.

Depuis le mercredi 17 avril 2019, il est possible de télécharger la nouvelle application de messagerie Tchap sur le Play Store et l’App Store. Mais elle n’est pas destinée à tout le monde. Tchap est une application accessible à certains fonctionnaires et agents de l’État. L’objectif est de leur permettre « d’échanger des informations sensibles ou moins sensibles, en mobilité ou depuis un poste de travail bureautique ».

En plus d’être chiffrées de bout en bout, ces informations sont stockées sur des serveurs de l’État plutôt que ceux de services tiers, comme c’est le cas avec WhatsApp ou Telegram. Pour accéder à Tchap, il est indispensable de disposer d’une adresse électronique nominative professionnelle. Autrement dit, seules les adresses avec des domaines comme @gouv.fr ou esee.fr peuventy accéder. Mais moins de 24h après son lancement, une faille a été découverte dans cette application de messagerie censée être sécurisée.

L’application Tchap du gouvernement est-elle vraiment sécurisée ?

La question mérite amplement d’être posée puisqu’il n’a fallu que quelques heures à Elliot Anderson, un chasseur français de failles de sécurité pour identifier une première vulnérabilité dans l’application. En espérant qu’il n’y en a pas d’autres.

« Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible.@Elysee @gouvernementFR @EPhilippePM @EmmanuelMacron comment puis je vous contacter? C’est TRÈS TRÈS urgent« .

C’est par ce message publié sur Twitter que le hacker white hat a lancé l’alerte. Contacté par le site 01net, il a donné un peu plus d’informations sur ce dont il s’agit :

« En théorie, l’application est réservée aux employés du gouvernement, en d’autres termes les personnes possédant une adresse e-mail en gouv.fr ou en elysee.fr. Dû à un problème de filtrage sur l’adresse e-mail lors de l’inscription, j’ai réussi à m’inscrire sur l’application en tant qu'employé de l’Elysée sans avoir d’adresse e-mail officiel. Ainsi, j’ai obtenu l’accès à tous les salons publics, les profils des gens inscrits, etc ».

De manière concrète, le chercheur aurait ajouté « @presidence@elysee.fr » à son adresse, ce qui lui a permis « de passer les checks de sécurité côté serveur et de recevoir l’e-mail de validation sur mon adresse perso », comme il l’a confié à 01net. Cette technique ne servira finalement pas à d’autres hackers, notamment ceux situés du côté obscur de la force puisque la faille n’a pas tardé à être corrigée.

« Nous avons déployé un correctif vers 13h » a fait savoir l’entreprise qui développe Matrix, le protocole de communication sur lequel est baséel’application Tharp, dans un tweet publié ce jeudi 18 avril.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos dernières applications !
Google Agenda : nouvelle mise à jour avec un mode sombre

Google Agenda bénéficie d’une nouvelle mise à jour et permet désormais de profiter d’un mode sombre. De plus en plus d’applications Google intègrent le Dark Mode de manière individuelle en attendant l’arrivée du mode natif d’Android Q dont la version…

Google Assistant change de design et devient entièrement transparent

Google est en train de tester un nouveau design de Google Assistant. Plusieurs utilisateurs ont déjà droit à cette nouvelle version qui rend l’assistant personnel totalement transparent. Il se fond désormais de manière discrète dans l’arrière-plan. Pour le moment, ce nouveau design est accessible…

WhatsApp : pourquoi il est urgent de mettre à jour votre application

WhatsApp est visé par une énorme faille de sécurité permettant à un pirate d’injecter des malware à distance sur des smartphones Android et iOS. La faille a été déjà exploitée par la société israélienne NSO Group avec un spyware, Pegasus, qui espionnait…