Commentaires : L'Etat français déploie sa messagerie Tchap... et on a déjà détecté une grosse faille

La messagerie Tchap, créée par l’État pour remplacer les célèbres et , était déjà exposée à une énorme faille à peine quelques heures après son lancement.

Alerte aux dévs sérieux… C’est pas comme si on ne trouvait pas partout en cherchant 2 secondes une expression régulière correcte pour vérifier le format des emails…

1 J'aime

A l’image de la France et surtout de son gouvernement.

1 J'aime

Meme le site: http://www.tchap.fr/
n’est pas sécurisé. Pas de https. dispo
Ergonomie et design du site: zéro pointé.
Un logo à la qualité douteuse. Compressé à mort.

C’est ca le niveau des devs. français ?

1 J'aime

ben quand on sait que Thales a developer Citadel … et que c’est plutot fiable et sécurisé… on comprends pas vraiment l’utilisation de ce truc développé par une startup…

J’avoue le site c’est chaud ! En plus un wordpress pour ça ?
J’aurais honte d’avoir fait ça…

Et surtout j’aimerais bien savoir combien a couté cette m****

Hahah tellement vrai !

sur le site de tchap, à la question “Quel est le budget du projet Tchap ?”, du blabla de politicard et pas de réponse chiffré.

Ce site est juste une présentation de l’appli, c’est quoi l’intérêt du HTTPS ? C’est vraiment critiquer pour critiquer là, c’est ridicule.

En plus, ce n’est pas du tout un site officiel… pour un champion de la critique t’aurais au moins pu te fendre d’un whois.

Si tu lis la réponse, tu comprends vite que ce site n’a rien d’officiel.

toi qui est si fort, fais donc un whois… ce site a été monté à l’arrache et n’a rien d’officiel. C’est quand même pas compliqué de voir que c’est pas le domaine gouv.fr.

C’est pas les talents qui manquent en France ! Le gouvernement s’entourent malheureusement de personne incompétentes, ou peut-être bien est-ce dû à du copinage ?

Quand l’Etat achète un logiciel non opensource, on lui reproche… là il prend un truc open source parce que l’open source c’est formidable… on lui reproche encore les failles du-dit logiciel. Y’a un moment, faudrait peut-être arrêter de crititquer sans prendre 2s de réflexion.

DINSIC a développé FranceConnect qui fait très bien le job et simplifie grandement la connexion aux sites des administrations.

1 J'aime

Pour info, c’est encore une version beta qui est en ligne : https://www.numerique.gouv.fr/espace-presse/lancement-de-tchap-la-messagerie-instantanee-des-agents-de-letat/

Cette version bêta fera l’objet d’une amélioration continue, tant en termes d’ergonomie que de sécurité. Ainsi, la DINSIC se tient à l’écoute des experts de la société civile, et prendra en compte tout retour qu’ils lui remonteraient en vue d’améliorer l’application, comme ce fut le cas pour une faille - d’impact mineur - détectée le 18 avril et corrigée en quelques heures. Pour aller plus loin, la DINSIC lancera prochainement un « bug bounty ».

1 J'aime

Le problème, c’est rarement les devs, mais plutot les achats…
En gros, quand tu fais un projet, tu as des contraintes de couts / délais / qualité. Si tu veux faire rapide et pas cher (comme c’est le cas dans 90% des projets), bah tu n’auras jamais un truc de qualité à la fin.
Le problème, c’est que les services achats en ont rien à faire de ce constat, tout simplement parce qu’ils ne sont pas objectivés sur la qualité finale des projets, mais sur leur capacité à maitriser les couts. Du coup, ce n’est pas prêt de changer, et on aura toujours des recettes utilisateurs affligeantes (sans parler de la documentation inexistante dans la majorité des cas).
Une solution pour s’en sortir : une bonne pratique en Suisse. Lors d’un appel d’offre, le moins cher passe automatiquement à la poubelle sans que le dossier soit lu. C’est connu de tous, et ça incite les soumissionnaires à répondre honnêtement, et à ne pas développer la culture de l’avenant liée à l’incapacité des clients à bien ficeler un contrat.

Ce qu’il faut comprendre, c’est que les informations qui peuvent êtres interceptées par des personnes mal intentionnées peuvent compromettre la sûreté de l’Etat. A ce niveau ont n’a pas le droit à l’erreur, ce n’est pas un Jeu qu’on va patché tous les 15 Jours.

Simple question : Tu travailles pour/avec le gouvernement? :slight_smile:

Non, juste je me renseigne un minimum quand je lis un article :slight_smile: Je sais, ça fait bizarre d’avoir quelqu’un qui ne balance pas du troll en continue en bavant sur untel ou untel.

1 J'aime

C’est très exactement pour ça qu’ils font une phase beta :slight_smile: Pour améliorer le service tant qu’il est temps.

Toi qui est si malin, tu as du voir que je n’ai jamais dit que c’était le site officiel, mais que j’ai simplement répondu à @thibotus01