Tchap : une faille déjà identifiée dans l’application de messagerie sécurisée du gouvernement

Tchap est la nouvelle application du gouvernement qui vise à sécuriser les échanges entre certains fonctionnaires du service public, histoire de rendre plus confidentielles les données souveraines de l’État. Mais chose étrange, moins de 24 heures après son lancement, un chercheur en sécurité française y a trouvé une importante faille.

Depuis le mercredi 17 avril 2019, il est possible de télécharger la nouvelle application de messagerie Tchap sur le Play Store et l’App Store. Mais elle n’est pas destinée à tout le monde. Tchap est une application accessible à certains fonctionnaires et agents de l’État. L’objectif est de leur permettre « d’échanger des informations sensibles ou moins sensibles, en mobilité ou depuis un poste de travail bureautique ».

En plus d’être chiffrées de bout en bout, ces informations sont stockées sur des serveurs de l’État plutôt que ceux de services tiers, comme c’est le cas avec WhatsApp ou Telegram. Pour accéder à Tchap, il est indispensable de disposer d’une adresse électronique nominative professionnelle. Autrement dit, seules les adresses avec des domaines comme @gouv.fr ou esee.fr peuventy accéder. Mais moins de 24h après son lancement, une faille a été découverte dans cette application de messagerie censée être sécurisée.

L’application Tchap du gouvernement est-elle vraiment sécurisée ?

La question mérite amplement d’être posée puisqu’il n’a fallu que quelques heures à Elliot Anderson, un chasseur français de failles de sécurité pour identifier une première vulnérabilité dans l’application. En espérant qu’il n’y en a pas d’autres.

« Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible.@Elysee @gouvernementFR @EPhilippePM @EmmanuelMacron comment puis je vous contacter? C’est TRÈS TRÈS urgent« .

C’est par ce message publié sur Twitter que le hacker white hat a lancé l’alerte. Contacté par le site 01net, il a donné un peu plus d’informations sur ce dont il s’agit :

« En théorie, l’application est réservée aux employés du gouvernement, en d’autres termes les personnes possédant une adresse e-mail en gouv.fr ou en elysee.fr. Dû à un problème de filtrage sur l’adresse e-mail lors de l’inscription, j’ai réussi à m’inscrire sur l’application en tant qu'employé de l’Elysée sans avoir d’adresse e-mail officiel. Ainsi, j’ai obtenu l’accès à tous les salons publics, les profils des gens inscrits, etc ».

De manière concrète, le chercheur aurait ajouté « @[email protected] » à son adresse, ce qui lui a permis « de passer les checks de sécurité côté serveur et de recevoir l’e-mail de validation sur mon adresse perso », comme il l’a confié à 01net. Cette technique ne servira finalement pas à d’autres hackers, notamment ceux situés du côté obscur de la force puisque la faille n’a pas tardé à être corrigée.

« Nous avons déployé un correctif vers 13h » a fait savoir l’entreprise qui développe Matrix, le protocole de communication sur lequel est baséel’application Tharp, dans un tweet publié ce jeudi 18 avril.



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos dernières applications !
Files by Google protège tous vos dossiers à l’aide d’un simple code PIN

L’application Files by Google bénéficie d’une mise à jour. Désormais, le gestionnaire de fichiers intègre un dossier sécurisé pour protéger les documents sensibles contenus dans votre smartphone. Le déploiement du dossier sécurisé, qui durera plusieurs semaines, passera d’abord par une…

Google Play Musique commencera à fermer ses portes dès septembre 2020

Google Play Musique commencera à fermer ses portes dès septembre 2020. Google vient de confirmer la nouvelle. Le service fermera ses portes au profit de YouTube Musique et les utilisateurs auront jusqu’à décembre pour transférer ou sauvegarder leur bibliothèque personnelle….

Chrome pour Android permet de payer en ligne avec votre empreinte digitale

Google Chrome pour Android introduit l’authentification des paiements en ligne par empreinte digitale et reconnaissance faciale. Plutôt que de saisir vos données de carte bancaire à chaque transaction, vous pourrez utiliser vos données biométriques pour valider les paiements. Si vous…

Top 7 des meilleures applications pour partir en vacances au dernier moment

Parce que nous sommes déjà fin juin et que les vacances d’été démarrent à la fin de la semaine, nous avons décidé de vous proposer un petit top des meilleures applications pour réserver vos vacances à la dernière minute. Logements, vols, hôtels, covoiturages et séjours tout compris. Tout y est et souvent à des prix très avantageux !

WhatsApp : vous pourrez enfin muter les notifications ennuyeuses à jamais

WhatsApp développe une nouvelle option permettant de muter les notifications ennuyeuses « pour toujours », que ce soit pour les groupes de discussion ou les conversations de vos amis. Vous pourrez choisir de vous passer indéfiniment des alertes sonores d’une…

Google Photos veut à tout prix que vous preniez des vidéos verticales

De nombreux utilisateurs de Google Photos se plaignent d’un changement agaçant : il est désormais impossible de créer une vidéo en mode paysage dans l’application. Google Photos tente coûte que coûte de transformer la vidéo en mode portrait, même si…

Play Store : Google déploie enfin des filtres pour trouver des apps plus vite

Le Googlle Play Store améliore l’expérience de recherche avec des filtres contextuels qui permettent de trouver des applications plus rapidement. Ces derniers n’apparaissent que lors de certaines recherche. La fonction de recherche du Play Store méritait depuis des années d’être…