Tchap : une faille déjà identifiée dans l’application de messagerie sécurisée du gouvernement

Tchap est la nouvelle application du gouvernement qui vise à sécuriser les échanges entre certains fonctionnaires du service public, histoire de rendre plus confidentielles les données souveraines de l’État. Mais chose étrange, moins de 24 heures après son lancement, un chercheur en sécurité française y a trouvé une importante faille.

Depuis le mercredi 17 avril 2019, il est possible de télécharger la nouvelle application de messagerie Tchap sur le Play Store et l’App Store. Mais elle n’est pas destinée à tout le monde. Tchap est une application accessible à certains fonctionnaires et agents de l’État. L’objectif est de leur permettre « d’échanger des informations sensibles ou moins sensibles, en mobilité ou depuis un poste de travail bureautique ».

En plus d’être chiffrées de bout en bout, ces informations sont stockées sur des serveurs de l’État plutôt que ceux de services tiers, comme c’est le cas avec WhatsApp ou Telegram. Pour accéder à Tchap, il est indispensable de disposer d’une adresse électronique nominative professionnelle. Autrement dit, seules les adresses avec des domaines comme @gouv.fr ou esee.fr peuventy accéder. Mais moins de 24h après son lancement, une faille a été découverte dans cette application de messagerie censée être sécurisée.

L’application Tchap du gouvernement est-elle vraiment sécurisée ?

La question mérite amplement d’être posée puisqu’il n’a fallu que quelques heures à Elliot Anderson, un chasseur français de failles de sécurité pour identifier une première vulnérabilité dans l’application. En espérant qu’il n’y en a pas d’autres.

« Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible.@Elysee @gouvernementFR @EPhilippePM @EmmanuelMacron comment puis je vous contacter? C’est TRÈS TRÈS urgent« .

C’est par ce message publié sur Twitter que le hacker white hat a lancé l’alerte. Contacté par le site 01net, il a donné un peu plus d’informations sur ce dont il s’agit :

« En théorie, l’application est réservée aux employés du gouvernement, en d’autres termes les personnes possédant une adresse e-mail en gouv.fr ou en elysee.fr. Dû à un problème de filtrage sur l’adresse e-mail lors de l’inscription, j’ai réussi à m’inscrire sur l’application en tant qu'employé de l’Elysée sans avoir d’adresse e-mail officiel. Ainsi, j’ai obtenu l’accès à tous les salons publics, les profils des gens inscrits, etc ».

De manière concrète, le chercheur aurait ajouté « @presidence@elysee.fr » à son adresse, ce qui lui a permis « de passer les checks de sécurité côté serveur et de recevoir l’e-mail de validation sur mon adresse perso », comme il l’a confié à 01net. Cette technique ne servira finalement pas à d’autres hackers, notamment ceux situés du côté obscur de la force puisque la faille n’a pas tardé à être corrigée.

« Nous avons déployé un correctif vers 13h » a fait savoir l’entreprise qui développe Matrix, le protocole de communication sur lequel est baséel’application Tharp, dans un tweet publié ce jeudi 18 avril.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos dernières applications !
WhatsApp ne fonctionnera plus sur ces smartphones dès 2020

WhatsApp ne fonctionnera plus sur les iPhone sous iOS 8 ni sur les smartphones sous Android Gingerbread (ou version antérieure) dès le mois de février 2020. Peu avant, l’application de messagerie instantanée disparaîtra des derniers appareils tournant sous Windows Phone….

WhatsApp teste les messages qui s’autodétruisent comme dans Snapchat

WhatsApp teste en ce moment la possibilité d’écrire des messages qui s’autodétruisent après une durée définie par l’utilisateur. Une fonctionnalité qui rappelle Snapchat – mais qui commence à se retrouver chez la concurrence, notamment sur Telegram ou dans Gmail.  WhatsApp…

Apple Music pour Android est enfin capable de diffuser sur Chromecast

Apple Music pour Android est désormais en mesure de diffuser en continu sur les appareils Chromecast. L’application en profite également pour se relooker, puisqu’elle dispose désormais d’un mode sombre, compatible avec les paramètres du nouveau système Android 10. Après plusieurs…