L'Etat français déploie sa messagerie Tchap... et on a déjà détecté une grosse faille

19 avril 2019 à 14h01
37
Assemblee nationale

La messagerie Tchap, créée par l'État pour remplacer les célèbres WhatsApp et Telegram, était déjà exposée à une énorme faille à peine quelques heures après son lancement.

C'est ce qu'on appelle un faux départ. Alors qu'il faisait face à l'impossibilité d'installer des messageries comme Telegram ou WhatsApp sur les smartphones professionnels, l'État français avait lancé le projet Tchap, expérimenté depuis juillet 2018, destiné à équiper les membres du gouvernement et leurs collaborateurs. Lancée ce 17 avril, la messagerie sécurisée du gouvernement s'avère déjà truffée de failles. Pas vraiment rassurant...

Quand Tchap fait Pschitt

Elliot Alderson, le célèbre chercheur français en sécurité qui se revendique lui-même comme étant le pire cauchemar de Oneplus, Wiko, UIDAI, Kimbho ou Donald Daters, a interpellé le gouvernement après avoir pu accéder très (trop) facilement à l'application, a priori réservée à celles et ceux qui bénéficient d'une adresse mail de type @elysee.fr ou @gouv.fr.

Dans un premier temps, Elliot Alderson a découvert que l'application est open source. Cela n'est pas une surprise, c'est même clairement indiqué et détaillé sur le site de l'application. L'État a fait le choix des logiciels libres pour créer la messagerie, qui se base ainsi sur le système de communication libre Riot, conçu par l'équipe franco-britannique New Vector, et le protocole de communication standardisé Matrix, issu de cette même équipe.

Alertée, les équipes de l'application ont déployé un correctif

Cela tombe bien : Alderson adore l'open source ! En profitant d'un problème de filtrage sur l'adresse électronique lors de l'inscription, il a ainsi pu s'inscrire sur l'application comme employé de l'Élysée sans même disposer d'une adresse mail officielle. Le spécialiste a intercepté les échanges opérés entre le formulaire d'inscription et les serveurs. Après une ou deux tentatives, il a pu inscrire son mail personnel en ajoutant les suffixes @protonmail.com @presidence, puis @elysee.fr, celui qui lui manquait.

mail-confirm-elliot.png
Le mail de confirmation reçu par Elliot Alderson

C'est ainsi qu'en quelques minutes, le chercheur a pu s'inscrire sur la « messagerie sécurisée » du gouvernement, recevoir un email de confirmation et naviguer tranquillement sur cette dernière, avec un accès total. Les membres liés au gouvernement ne manquent en tout cas pas d'imagination. Un employé du ministère de l'Agriculture a notamment créé un « Salon jaune », pour « ceux qui aiment le jaune. »

Évidemment, le chercheur en sécurité a rapidement contacté les responsables de Tchap, qui ont été réactifs en procédant à la correction du problème moins de trois heures après avoir été prévenus. L'équipe de l'application invite ses utilisateurs, dans un billet de blog, à procéder à sa mise à jour.

tchap-salon.png
L'humour à la française :)

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
37
18
KaspOu
Alerte aux dévs sérieux… C’est pas comme si on ne trouvait pas partout en cherchant 2 secondes une expression régulière correcte pour vérifier le format des emails…
Popoulo
A l’image de la France et surtout de son gouvernement.
thibotus01
Meme le site: http://www.tchap.fr/<br /> n’est pas sécurisé. Pas de https. dispo<br /> Ergonomie et design du site: zéro pointé.<br /> Un logo à la qualité douteuse. Compressé à mort.<br /> C’est ca le niveau des devs. français ?
chickenwing
J’avoue le site c’est chaud ! En plus un wordpress pour ça ?<br /> J’aurais honte d’avoir fait ça…<br /> Et surtout j’aimerais bien savoir combien a couté cette m****
Sergentpitt
Hahah tellement vrai !
le-tof
sur le site de tchap, à la question “Quel est le budget du projet Tchap ?”, du blabla de politicard et pas de réponse chiffré.
megadub
Ce site est juste une présentation de l’appli, c’est quoi l’intérêt du HTTPS ? C’est vraiment critiquer pour critiquer là, c’est ridicule.<br /> En plus, ce n’est pas du tout un site officiel… pour un champion de la critique t’aurais au moins pu te fendre d’un whois.
megadub
Si tu lis la réponse, tu comprends vite que ce site n’a rien d’officiel.
megadub
toi qui est si fort, fais donc un whois… ce site a été monté à l’arrache et n’a rien d’officiel. C’est quand même pas compliqué de voir que c’est pas le domaine gouv.fr.
domde
C’est pas les talents qui manquent en France ! Le gouvernement s’entourent malheureusement de personne incompétentes, ou peut-être bien est-ce dû à du copinage ?
megadub
Quand l’Etat achète un logiciel non opensource, on lui reproche… là il prend un truc open source parce que l’open source c’est formidable… on lui reproche encore les failles du-dit logiciel. Y’a un moment, faudrait peut-être arrêter de crititquer sans prendre 2s de réflexion.<br /> DINSIC a développé FranceConnect qui fait très bien le job et simplifie grandement la connexion aux sites des administrations.
megadub
Pour info, c’est encore une version beta qui est en ligne : https://www.numerique.gouv.fr/espace-presse/lancement-de-tchap-la-messagerie-instantanee-des-agents-de-letat/<br /> Cette version bêta fera l’objet d’une amélioration continue, tant en termes d’ergonomie que de sécurité. Ainsi, la DINSIC se tient à l’écoute des experts de la société civile, et prendra en compte tout retour qu’ils lui remonteraient en vue d’améliorer l’application, comme ce fut le cas pour une faille - d’impact mineur - détectée le 18 avril et corrigée en quelques heures. Pour aller plus loin, la DINSIC lancera prochainement un « bug bounty ».
thurim
Le problème, c’est rarement les devs, mais plutot les achats…<br /> En gros, quand tu fais un projet, tu as des contraintes de couts / délais / qualité. Si tu veux faire rapide et pas cher (comme c’est le cas dans 90% des projets), bah tu n’auras jamais un truc de qualité à la fin.<br /> Le problème, c’est que les services achats en ont rien à faire de ce constat, tout simplement parce qu’ils ne sont pas objectivés sur la qualité finale des projets, mais sur leur capacité à maitriser les couts. Du coup, ce n’est pas prêt de changer, et on aura toujours des recettes utilisateurs affligeantes (sans parler de la documentation inexistante dans la majorité des cas).<br /> Une solution pour s’en sortir : une bonne pratique en Suisse. Lors d’un appel d’offre, le moins cher passe automatiquement à la poubelle sans que le dossier soit lu. C’est connu de tous, et ça incite les soumissionnaires à répondre honnêtement, et à ne pas développer la culture de l’avenant liée à l’incapacité des clients à bien ficeler un contrat.
domde
Ce qu’il faut comprendre, c’est que les informations qui peuvent êtres interceptées par des personnes mal intentionnées peuvent compromettre la sûreté de l’Etat. A ce niveau ont n’a pas le droit à l’erreur, ce n’est pas un Jeu qu’on va patché tous les 15 Jours.
AncientAstronaut
Simple question : Tu travailles pour/avec le gouvernement?
megadub
Non, juste je me renseigne un minimum quand je lis un article Je sais, ça fait bizarre d’avoir quelqu’un qui ne balance pas du troll en continue en bavant sur untel ou untel.
megadub
C’est très exactement pour ça qu’ils font une phase beta Pour améliorer le service tant qu’il est temps.
jeremyb42
Toi qui est si malin, tu as du voir que je n’ai jamais dit que c’était le site officiel, mais que j’ai simplement répondu à @thibotus01
thibotus01
L’interêt du HTTPS pour une appli de messagerie sécurisé ? Simplement l’image que cela renvoit. Voilà.<br /> De plus le https est devenu un standard. Un site non https quelqu’il soit ne m’insipire pas et ne devrait inspirer confiance à personne en 2018. Alo on n’est plus en 1990.
thibotus01
Ca se trouve t’es un des développeur… Retourne à l’école si c’est le cas.
megadub
C’est pas une appli sécurisé ton lien, c’est juste un blog pourri qui visiblement n’a pas grand chose à voir avec les développeurs du projet. Il n’y a aucune sorte d’authentification sur ce site en plus alors du HTTPS juste pour le plaisir, c’est juste bon pour les kikoolol ça.<br /> Et il suffit d’un https pour te rassurer, c’est bien ça… t’es un vrai connaisseur toi
megadub
Oui, ça doit être ça… quand on n’a plus que l’attaque perso pour se montrer intéressant, ça en dit long. Toi qui sort un site totalement pourri pour basher les développeurs, c’est sûr que ça tend au génie, t’es un vrai champion toi T’as compris l’origine de la faille au moins ou c’est juste pour le plaisir de faire le malin alors que t’as rien fait de ta vie ?<br /> Vivement la fin des vacances scolaires… c’est fatiguant tous ces trolls.
PierreKaiL
J’aime bien la sagesse de tes propos (enfin à 90% :D), par contre je ne pense pas me tromper en disant que si on veut passer d’un site http en https cela équivaut à un changement de nom de domaine donc pourquoi ne pas l’avoir mis en place à l’origine, et aussi comme le dit thibotus01, pour l’image du site. Les critiques sont un peu exagérées, mais pas sans fondement
thibotus01
J’avais compris que le lien n’est pas l’appli mais un site qui parle de l’appli. Donc mon commentaire sur l’image que cela renvoit par rapport à l’application n’est pas sans fondement.<br /> tu as l’authentification sur wp-admin si tu avais recherché et lu un peu les commentaires…<br /> Je n’ai rien fait de ma vie, mince alors.
megadub
Non, ça ne nécessite pas de changement de nom de domaine. Par contre, ce site c’est juste un blog pourri donc ça n’a strictement aucun intérêt. Et vu comme il parle du budget, je pense qu’il est même PAS DU TOUT lié au sujet
megadub
thibotus01:<br /> J’avais compris que le lien n’est pas l’appli mais un site qui parle de l’appli. Donc mon commentaire sur l’image que cela renvoit par rapport à l’application n’est pas sans fondement.<br /> Bah si, totalement sans fondement puisque le site en question se fout pas mal de l’image de Tchap vu comme il le taille dans la partie budget Visiblement c’est trop subtil
LeLapinou64
Rien d’étonnant à tout cela… Ça fait un moment qu’on n’est plus à la hauteur de ce qui se fait ailleurs en terme de développement informatique…
megadub
C’est totalement faux, les profils français sont très recherchés sur le marché international On a d’excellente compétence en ingénierie, c’est probablement plus le temps qu’on leur a laissé et le fait que ce n’est encore qu’une béta qui pose souci
LeLapinou64
En C++ peut être… Pour le reste, sans dire qu’on est à la ramasse, on est loin derrière les russes, chinois, polonais… bcp de pays de l’est et asiatiques.
megadub
Non, non, même en sécurité informatique on a une expertise reconnue
Zourbon
Oui en France on prend le moins cher qui coute trois fois plus au final
Zourbon
Megadub c’est un troll depuis des années. Il arrive à noyer le problème principale qui est des failles sur la messagerie sécurisée de l’état.<br /> Et des failles du genre stupide qui par un petit truc te donne accès à tout. Il n’y même pas de notion de niveau de sécurité.<br /> Et aussi que tous les logiciels commandés par l’administration sont des merdes qui coutent des fortunes.<br /> Et effectivement, en France on a pas de bons développeurs. Ou les rares qu’il y a bossent sur des projets très spéciaux genre armement.<br /> Logiciel Louvois de paye de l’armée, une catastrophe, Logiciel Socrate SNCF, idem, logiciel de tva pour les entreprises, du pur délire pendant des années.<br /> Et derrière des administrations incompétentes, qui s’en foutent ou qui n’ont qu’une idée , te taxer ou te mettre sur le dos leurs erreurs.
megadub
Zourbon:<br /> Et aussi que tous les logiciels commandés par l’administration sont des merdes qui coutent des fortunes.<br /> Tu connais Matrix et Riot ? Visiblement pas Tu sais quand même ce qu’est une version beta n’est-ce pas ? <br /> Zourbon:<br /> Logiciel Louvois de paye de l’armée, une catastrophe, Logiciel Socrate SNCF, idem, logiciel de tva pour les entreprises, du pur délire pendant des années.<br /> Et derrière des administrations incompétentes, qui s’en foutent ou qui n’ont qu’une idée , te taxer ou te mettre sur le dos leurs erreurs.<br /> Et comme t’es dans le secret des dieux tu connais exactement les raisons de ses échecs… ou alors t’es un gros troll qui fout tout sur le dos des dévs parce que tu comprends rien au métier.<br /> Et à part ça, New Vector est autant anglais que français, le PDG est anglais notamment, mais c’est pas grave hein, ça permet de dégueuler sur la France à pas cher <br /> Sinon, on peut aussi citer : sncf.com premier site de e.commerce en France, Assassin’s Creed Unity développé par Ubi France, impot.gouv.fr qui fonctionne super bien, etc.
pete_get27
Le problème c’est les dévs qui ne le sont pas à qui on file une spéc et qui en retour te cop/coll du SO dans un site angular… On fait croire à des gens que leur reconversion vers l’IT sera facile, que la vie est bien meilleur que dans leur ‘pays de m€rde’, qu’ils seront payé une montagne d’or s’il arrive à enfumer le client. Après dans le lot t’as quelques bons boug…
Termos
N’importe quoi !
Termos
Rien compris
Voir tous les messages sur le forum

Actualités du moment

Castlevania Anniversary Collection : le 16 mai sur PC, Xbox, PS4 et Nintendo Switch
iPhone 2019 : Apple va muscler son jeu en photo, notamment en autoportrait
🔥 Bon plan Udemy : 40% de réduction sur la formation création de jeux vidéo
Facebook bannit plusieurs grands groupes britanniques d'extrême droite de son réseau social
La NASA a découvert le tout premier type de molécule à avoir existé dans l'Univers
[MàJ] Cloud computing : les Lyonnais de Hume détaillent leurs tarifs
⚡ Forfait Sosh : prolongation de l'offre 20Go pour 9,99€/mois
🔥 Bon plan : acheter le OnePlus 6T au meilleur prix (avril 2019)
Deux plaintes déposées contre Apple, qui aurait menti sur ses performances de ventes
⚡ Bon plan B&You : forfait mobile 20Go en promo jusqu'à 29 avril
Haut de page