L'Etat français déploie sa messagerie Tchap... et on a déjà détecté une grosse faille

Alexandre Boero Contributeur
19 avril 2019 à 14h01
0
Assemblee nationale

La messagerie Tchap, créée par l'État pour remplacer les célèbres WhatsApp et Telegram, était déjà exposée à une énorme faille à peine quelques heures après son lancement.

C'est ce qu'on appelle un faux départ. Alors qu'il faisait face à l'impossibilité d'installer des messageries comme Telegram ou WhatsApp sur les smartphones professionnels, l'État français avait lancé le projet Tchap, expérimenté depuis juillet 2018, destiné à équiper les membres du gouvernement et leurs collaborateurs. Lancée ce 17 avril, la messagerie sécurisée du gouvernement s'avère déjà truffée de failles. Pas vraiment rassurant...

Quand Tchap fait Pschitt

Elliot Alderson, le célèbre chercheur français en sécurité qui se revendique lui-même comme étant le pire cauchemar de Oneplus, Wiko, UIDAI, Kimbho ou Donald Daters, a interpellé le gouvernement après avoir pu accéder très (trop) facilement à l'application, a priori réservée à celles et ceux qui bénéficient d'une adresse mail de type @elysee.fr ou @gouv.fr.

Dans un premier temps, Elliot Alderson a découvert que l'application est open source. Cela n'est pas une surprise, c'est même clairement indiqué et détaillé sur le site de l'application. L'État a fait le choix des logiciels libres pour créer la messagerie, qui se base ainsi sur le système de communication libre Riot, conçu par l'équipe franco-britannique New Vector, et le protocole de communication standardisé Matrix, issu de cette même équipe.

Alertée, les équipes de l'application ont déployé un correctif

Cela tombe bien : Alderson adore l'open source ! En profitant d'un problème de filtrage sur l'adresse électronique lors de l'inscription, il a ainsi pu s'inscrire sur l'application comme employé de l'Élysée sans même disposer d'une adresse mail officielle. Le spécialiste a intercepté les échanges opérés entre le formulaire d'inscription et les serveurs. Après une ou deux tentatives, il a pu inscrire son mail personnel en ajoutant les suffixes @protonmail.com @presidence, puis @elysee.fr, celui qui lui manquait.

mail-confirm-elliot.png
Le mail de confirmation reçu par Elliot Alderson

C'est ainsi qu'en quelques minutes, le chercheur a pu s'inscrire sur la « messagerie sécurisée » du gouvernement, recevoir un email de confirmation et naviguer tranquillement sur cette dernière, avec un accès total. Les membres liés au gouvernement ne manquent en tout cas pas d'imagination. Un employé du ministère de l'Agriculture a notamment créé un « Salon jaune », pour « ceux qui aiment le jaune. »

Évidemment, le chercheur en sécurité a rapidement contacté les responsables de Tchap, qui ont été réactifs en procédant à la correction du problème moins de trois heures après avoir été prévenus. L'équipe de l'application invite ses utilisateurs, dans un billet de blog, à procéder à sa mise à jour.

tchap-salon.png
L'humour à la française :)

34 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

Voiture neuves : l’entourloupe de la fausse baisse des émissions de CO2
Voitures électriques : au Q3 2019, les ventes mondiales ont chuté de 10 %
Fini le réseau cuivré, Orange veut passer au 100 % fibre à partir de 2023
Recyclage, consommation et énergie, la technologie est-elle un problème... ou une solution ?
Taxe GAFA : les USA prêts à taxer les produits français jusqu'à... 100 %
Apple renouvellerait ses iPhone deux fois par an à partir de 2021, et c’est une très mauvaise idée
D'après Porsche, sa Taycan électrique lui attirerait les clients de Tesla
L'Escobar Fold 1 : un smartphone pliable à 349 dollars par le frère de Pablo Escobar
Radars tronçons : le ministère de l'Intérieur mis en demeure par la CNIL
La Banque de France va tester une monnaie numérique nationale en 2020

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top