L'Etat français déploie sa messagerie Tchap... et on a déjà détecté une grosse faille

19 avril 2019 à 14h01
37
Assemblee nationale

La messagerie Tchap, créée par l'État pour remplacer les célèbres WhatsApp et Telegram, était déjà exposée à une énorme faille à peine quelques heures après son lancement.

C'est ce qu'on appelle un faux départ. Alors qu'il faisait face à l'impossibilité d'installer des messageries comme Telegram ou WhatsApp sur les smartphones professionnels, l'État français avait lancé le projet Tchap, expérimenté depuis juillet 2018, destiné à équiper les membres du gouvernement et leurs collaborateurs. Lancée ce 17 avril, la messagerie sécurisée du gouvernement s'avère déjà truffée de failles. Pas vraiment rassurant...

Quand Tchap fait Pschitt

Elliot Alderson, le célèbre chercheur français en sécurité qui se revendique lui-même comme étant le pire cauchemar de Oneplus, Wiko, UIDAI, Kimbho ou Donald Daters, a interpellé le gouvernement après avoir pu accéder très (trop) facilement à l'application, a priori réservée à celles et ceux qui bénéficient d'une adresse mail de type @elysee.fr ou @gouv.fr.

Dans un premier temps, Elliot Alderson a découvert que l'application est open source. Cela n'est pas une surprise, c'est même clairement indiqué et détaillé sur le site de l'application. L'État a fait le choix des logiciels libres pour créer la messagerie, qui se base ainsi sur le système de communication libre Riot, conçu par l'équipe franco-britannique New Vector, et le protocole de communication standardisé Matrix, issu de cette même équipe.

Alertée, les équipes de l'application ont déployé un correctif

Cela tombe bien : Alderson adore l'open source ! En profitant d'un problème de filtrage sur l'adresse électronique lors de l'inscription, il a ainsi pu s'inscrire sur l'application comme employé de l'Élysée sans même disposer d'une adresse mail officielle. Le spécialiste a intercepté les échanges opérés entre le formulaire d'inscription et les serveurs. Après une ou deux tentatives, il a pu inscrire son mail personnel en ajoutant les suffixes @protonmail.com @presidence, puis @elysee.fr, celui qui lui manquait.

mail-confirm-elliot.png
Le mail de confirmation reçu par Elliot Alderson

C'est ainsi qu'en quelques minutes, le chercheur a pu s'inscrire sur la « messagerie sécurisée » du gouvernement, recevoir un email de confirmation et naviguer tranquillement sur cette dernière, avec un accès total. Les membres liés au gouvernement ne manquent en tout cas pas d'imagination. Un employé du ministère de l'Agriculture a notamment créé un « Salon jaune », pour « ceux qui aiment le jaune. »

Évidemment, le chercheur en sécurité a rapidement contacté les responsables de Tchap, qui ont été réactifs en procédant à la correction du problème moins de trois heures après avoir été prévenus. L'équipe de l'application invite ses utilisateurs, dans un billet de blog, à procéder à sa mise à jour.

tchap-salon.png
L'humour à la française :)

Soyez toujours courtois dans vos commentaires
et respectez le réglement de la communauté.
37
18
Voir tous les messages sur le forum

Actualités récentes

Test Chromecast avec Google TV : la nouvelle star du streaming multimédia ?
Soldes Fnac : le SSD externe Samsung T5 500 Go baisse son prix pour la 2ème démarque
B&You lance une super offre avec son forfait 200 GO à moins de 15€ 🔥
Soldes : une imprimante HP DeskJet 2721 encore moins chère chez Cdiscount
L'interface
Xbox Series X | S : le « meilleur lancement de l'histoire » de Microsoft et des profits en forte hausse
Tails OS, le système d’exploitation live garanti « sans traçage » se met à jour
Soldes 2ème démarque : profitez des écouteurs Jabra Elite 65t à prix vraiment cassé
Deep Rock Galactic passe les 2 millions de ventes et fait le point en chiffres
iOS 14.4 : Apple corrige trois failles de sécurité exploitées par des hackers
Haut de page