L'Etat français déploie sa messagerie Tchap... et on a déjà détecté une grosse faille

le 19 avril 2019 à 14h01
0
Assemblee nationale

La messagerie Tchap, créée par l'État pour remplacer les célèbres WhatsApp et Telegram, était déjà exposée à une énorme faille à peine quelques heures après son lancement.

C'est ce qu'on appelle un faux départ. Alors qu'il faisait face à l'impossibilité d'installer des messageries comme Telegram ou WhatsApp sur les smartphones professionnels, l'État français avait lancé le projet Tchap, expérimenté depuis juillet 2018, destiné à équiper les membres du gouvernement et leurs collaborateurs. Lancée ce 17 avril, la messagerie sécurisée du gouvernement s'avère déjà truffée de failles. Pas vraiment rassurant...

Quand Tchap fait Pschitt


Elliot Alderson, le célèbre chercheur français en sécurité qui se revendique lui-même comme étant le pire cauchemar de Oneplus, Wiko, UIDAI, Kimbho ou Donald Daters, a interpellé le gouvernement après avoir pu accéder très (trop) facilement à l'application, a priori réservée à celles et ceux qui bénéficient d'une adresse mail de type @elysee.fr ou @gouv.fr.

Dans un premier temps, Elliot Alderson a découvert que l'application est open source. Cela n'est pas une surprise, c'est même clairement indiqué et détaillé sur le site de l'application. L'État a fait le choix des logiciels libres pour créer la messagerie, qui se base ainsi sur le système de communication libre Riot, conçu par l'équipe franco-britannique New Vector, et le protocole de communication standardisé Matrix, issu de cette même équipe.

Alertée, les équipes de l'application ont déployé un correctif


Cela tombe bien : Alderson adore l'open source ! En profitant d'un problème de filtrage sur l'adresse électronique lors de l'inscription, il a ainsi pu s'inscrire sur l'application comme employé de l'Élysée sans même disposer d'une adresse mail officielle. Le spécialiste a intercepté les échanges opérés entre le formulaire d'inscription et les serveurs. Après une ou deux tentatives, il a pu inscrire son mail personnel en ajoutant les suffixes @protonmail.com @presidence, puis @elysee.fr, celui qui lui manquait.

mail-confirm-elliot.png
Le mail de confirmation reçu par Elliot Alderson

C'est ainsi qu'en quelques minutes, le chercheur a pu s'inscrire sur la « messagerie sécurisée » du gouvernement, recevoir un email de confirmation et naviguer tranquillement sur cette dernière, avec un accès total. Les membres liés au gouvernement ne manquent en tout cas pas d'imagination. Un employé du ministère de l'Agriculture a notamment créé un « Salon jaune », pour « ceux qui aiment le jaune. »

Évidemment, le chercheur en sécurité a rapidement contacté les responsables de Tchap, qui ont été réactifs en procédant à la correction du problème moins de trois heures après avoir été prévenus. L'équipe de l'application invite ses utilisateurs, dans un billet de blog, à procéder à sa mise à jour.

tchap-salon.png
L'humour à la française :)

Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Les dernières actualités

Lyft propose une nouvelle fonctionnalité de sûreté : un bouton d'appel aux services d'urgence
Notre-Dame : quand le partage de données aide à la restauration
Le Sénat vote l'application de la taxe GAFA sur les géants du numérique
Adobe Premiere Rush est disponible sur Android
Selon Jim Ryan, Death Stranding, The Last of Us II et Ghost of Tsushima sortiront sur PS4
Une agence de l'ONU juge que les assistants personnels renforcent les préjugés sexistes
Lancement des 60 premiers satellites Starlink : comment regarder le décollage en direct
Une application Steam Chat débarque sur iOS et Android
Black Mirror : les trailers des 3 épisodes de la prochaine saison
Huawei P30 Lite vs Google Pixel 3a : lequel est le meilleur pour moins de 400 € ?
scroll top