Tchap, la messagerie instantanée française mais déjà mal sécurisée

Mobile

<p>L'Etat français a présenté sa messagerie instantanée souveraine, Tchap. Les agents de l'Etat et des collectivités doivent s'en servir à la place des autres solutions (américaine, chinoise ou russe). Mais, à peine sortie, le service souffre d'une faille, maintenant corrigée.</p>

L'Etat français a déployé sa messagerie instantanée souveraine, Tchap, sur Android et iOS. Le nom de l'application fait référence au télégraphe optique de Claude Chappe, mis en service sous la Révolution et qui fut utilisé jusqu'au milieu du XIXème siècle et à l'arrivée du télégraphe électrique. Tchap doit être utilisé par les agents de l'Etat, en particulier de ministère (adresses en gouv.fr ou elysee.fr), pour communiquer entre eux. L'objectif est de remplacer les communications via d'autres services tel que Telegram, WhatsApp ou Skype. Pour l'instant, il ne permet que des communications écrites avec des groupes.

Développé par la Direction Interministérielle du Numerique et du Système de Communication (DISINC) de l'Etat avec l'aide de Thalès, l'application Tchap est une adaptation de l'application de messagerie Riot, développée sur le standard de communication Matrix. Les serveurs de communications sont hébergés chez Cloudwatt d'Orange.

Mais la sécurité semble remise en cause : le chercheur en sécurité Baptiste Robert, alias Elliot Alderson, a découvert une vulnérabilité qui permet de s'inscrire sans être agent. La faille est d'abord identifiée dans l'implémentation du standard Matrix dans Riot et Tchap. La faille a été corrigée. Mais la faille serait plus profonde avec un problème d'une fonction mail de Python.

Commentaires