S3 1 Tio
S3 1 Tio
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Tchap, la messagerie sécurisée de la fonction publique, victime d’un incident de sécurité

La direction interministérielle du numérique (Dinum) a signalé lundi 8 juin après-midi un incident de sécurité constaté au niveau de Tchap, l’application de messagerie sécurisée consacrée à l’été 2025 comme l’outil de référence à utiliser pour toute la fonction publique.

L’incident aurait été constaté la veille, dimanche 7 juin, par l’ANSSI. Celle-ci a « détecté une compromission du service Tchap de messagerie instantanée chiffrée de l’État, à la suite d’une usurpation de compte ».

« A ce stade, le compte à l’origine des requêtes malveillantes a été identifié. Il a été immédiatement bloqué afin de supprimer l’accès persistant de l’attaquant et permettre une analyse approfondie des données auxquelles il a pu accéder. Les investigations se poursuivent, notamment par l’étude des journaux d’événements (logs), pour identifier les conversations auxquelles l’attaquant a pu accéder et la nature des données exfiltrées. », écrit la Dinum.

L’incident n’aurait donc pas affecté les serveurs de la messagerie : il semble localisé au niveau d’un compte utilisateur, qui a donc pu être utilisé pour consulter les salons publics hébergés sur Tchap. Rappelons que cette messagerie est basée sur le protocole Matrix, qui permet un chiffrement bout en bout des échanges. Dans l’implémentation retenue pour Tchap, celui-ci ne concerne cependant pas les conversations publiques.

« Un message a été transmis à l’ensemble des utilisateurs de Tchap rappelant qu’une conversation publique (ou « salon public ») peut être trouvée et rejointe par tout utilisateur et que son contenu n’y est pas chiffré. Conformément aux modalités d’utilisation de Tchap, aucune information personnelle, sensible ou couverte par le secret professionnel ne doit y être échangée : ces échanges doivent être réservés aux salons privés », rappelle à ce sujet la Dinum, qui ajoute avoir notifié l’incident à la Cnil.

Une annonce publiée sur un forum dédié aux vols de données revendiquait, dimanche, l’exfiltration d’un jeu de données issues de la messagerie Tchap comprenant notamment les profils de 73 000 agents avec un certain nombre d’informations professionnelles (email, institution de rattachement, etc.), un solde de 643 000 messages, et de nombreux fichiers multimédias. La véracité de ces allégations n’a pas été confirmée.

Un coq chantant un message chiffré
Illustration : Flock

Commentaires (6)

votre avatar
J'aurais bien aimé savoir, si, le compte compromis avait bien le MFA d'actif, si ce n'est pas le cas, ça serait malheureux ...
votre avatar
C'est peu probable.
votre avatar
Les conversations publiques ne sont quant à elles pas chiffrées.
C'est un choix d'installation. Les conversations publiques peuvent être chiffrées de bout en bout avec Matrix.

Bon, évidemment, la pertinence de chiffrer des conversions avec 1200 participants est loin d'être évidente :D
votre avatar
C'est pas un peu antinomique « conversations publiques chiffrées » ?
C'est techniquement possible, mais si tout le monde y a accès, je ne vois pas l'intérêt de chiffrer…
Ou alors ce sont des conversations de groupe ?

Edit : bon, en lisant la suite de la news (j'avais tiqué sur le terme), ce sont bien des conversations publiques :
peut être trouvée et rejointe par tout utilisateur
votre avatar
Je crois que dans Tchap, le chiffrement implique la confidentialité persistante. Donc si tu chiffres ton salon public, les nouveaux entrants ne pourront pas en lire l'historique antérieur à leur arrivée. Les salons publics servent donc à avoir des messages lisibles mêmes par ceux qui n'étaient pas là au moment de l'échange, et qui se connectent après.
votre avatar
C'est le cas, par défaut tout est chiffré sauf pour les salons de type "forum" que n'importe quel fonctionnaire peut rejoindre. Il y a certains de ces forums qui dépassent allègrement la dizaine de milliers de membres.