Tchap : une faille déjà identifiée dans l’application de messagerie sécurisée du gouvernement

Tchap est la nouvelle application du gouvernement qui vise à sécuriser les échanges entre certains fonctionnaires du service public, histoire de rendre plus confidentielles les données souveraines de l'État. Mais chose étrange, moins de 24 heures après son lancement, un chercheur en sécurité française y a trouvé une importante faille.

Depuis le mercredi 17 avril 2019, il est possible de télécharger la nouvelle application de messagerie Tchap sur le Play Store et l'App Store. Mais elle n'est pas destinée à tout le monde. Tchap est une application accessible à certains fonctionnaires et agents de l'État. L'objectif est de leur permettre « d'échanger des informations sensibles ou moins sensibles, en mobilité ou depuis un poste de travail bureautique ».

En plus d'être chiffrées de bout en bout, ces informations sont stockées sur des serveurs de l'État plutôt que ceux de services tiers, comme c'est le cas avec WhatsApp ou Telegram. Pour accéder à Tchap, il est indispensable de disposer d'une adresse électronique nominative professionnelle. Autrement dit, seules les adresses avec des domaines comme @gouv.fr ou esee.fr peuventy accéder. Mais moins de 24h après son lancement, une faille a été découverte dans cette application de messagerie censée être sécurisée.

L'application Tchap du gouvernement est-elle vraiment sécurisée ?

La question mérite amplement d'être posée puisqu'il n'a fallu que quelques heures à Elliot Anderson, un chasseur français de failles de sécurité pour identifier une première vulnérabilité dans l'application. En espérant qu'il n'y en a pas d'autres.

« Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible.@Elysee @gouvernementFR @EPhilippePM @EmmanuelMacron comment puis je vous contacter? C’est TRÈS TRÈS urgent“.

C'est par ce message publié sur Twitter que le hacker white hat a lancé l'alerte. Contacté par le site 01net, il a donné un peu plus d'informations sur ce dont il s'agit :

« En théorie, l'application est réservée aux employés du gouvernement, en d’autres termes les personnes possédant une adresse e-mail en gouv.fr ou en elysee.fr. Dû à un problème de filtrage sur l'adresse e-mail lors de l'inscription, j'ai réussi à m'inscrire sur l'application en tant qu'employé de l'Elysée sans avoir d'adresse e-mail officiel. Ainsi, j’ai obtenu l’accès à tous les salons publics, les profils des gens inscrits, etc ».

De manière concrète, le chercheur aurait ajouté « @[email protected] » à son adresse, ce qui lui a permis « de passer les checks de sécurité côté serveur et de recevoir l’e-mail de validation sur mon adresse perso », comme il l'a confié à 01net. Cette technique ne servira finalement pas à d'autres hackers, notamment ceux situés du côté obscur de la force puisque la faille n'a pas tardé à être corrigée.

« Nous avons déployé un correctif vers 13h » a fait savoir l'entreprise qui développe Matrix, le protocole de communication sur lequel est baséel'application Tharp, dans un tweet publié ce jeudi 18 avril.