Applis News

Tchap : la messagerie sécurisée du gouvernement avait une faille

tchap logo
A peine lancée, la messagerie réservée aux hauts fonctionnaires connaît sa première faille de sécurité. Une brèche vite repérée, et résorbée aussitôt.

L’idée était bien en soi. Face à des plateformes jugées trop vulnérables comme WhatsApp ou Telegram, le gouvernement français avait pris l’initiative de développer sa propre application de messagerie. Appelée Tchap, elle offre une système de cryptage de bout en bout et est hébergée en France. Mardi 16 avril 2019, le directeur interministériel du numérique M. Nadi Bou Hanna annonçait en grande pompe sa disponibilité sur le Play Store et l’App Store. L’application est réservée uniquement aux personnes ayant une adresse mail .gouv et elysee.fr. Le grand public ne peut pas donc y accéder, hormis via une invitation d’un membre déjà inscrit sur la plateforme.

Mais ça, c’est sur le papier.

Une faille repérée deux jours après le lancement

Pas de chance pour le gouvernement. Intrigué par le niveau de sécurité de l’application, Baptiste Robert aka Elliot Alderson sur Twitter (en référence au personnage principal de M. Robot), a décidé de fouiner un peu. Ce spécialiste en cybersécurité s’est amusé à explorer et bidouiller le code source de l’application. Après quelques manipulations, l’informaticien a réussi à s’inscrire sur Tchap, sans invitation officielle.

Le site Medium retrace l’intégralité du cheminement opéré par Baptiste Robert pour hacker Tchap. En résumé, l’homme a décompilé l’application et analysé attentivement ses lignes de code. Ceci fait, il a désactivé quelques certificats de sécurité. Une fois ces protections HS, Robert devait ensuite s’envoyer un mail de validation d’inscription, via une adresse mail ressemblant à une adresse officielle.

Le choix se porte sur le palais de l’Elysée, dont les mails se terminent par @elysee et transitent via les serveurs de Matrix, le standard ouvert en charge de Tchap. Première tentative avec une fausse adresse du type « mail@lefournisseur@elysee.fr ». Chou blanc. Le pirate retente la manipulation mais cette fois avec un mail connu des services de l’Elysée : « lemail@lefournisseur@presidence@elysee.fr ». Sésame ouvre toi ! Il reçoit une invitation et peut accéder en toute liberté aux multiples salons de conversations, occupés par des centaines d’agents publics.

 

Capture hacking Tchap

Comme vous pouvez le voir sur cette capture d’écran prise par Baptiste Robert, de nombreux forums sont disponibles : un dédié au ministère de l’Intérieur, un autre censé regrouper les retours des utilisateurs Tchap, un destiné aux opportunités, recherche de conseils et collaboration entre administration, etc. Plutôt marrant ou navrant selon votre point de vue, le hacker est tombé sur un salon appelé « Salon jaune ». Crée par un employé du ministère de l’Agriculture, il permet de trouver des partenaires de picole, pour partager un petit Ricard ! La preuve en image…

Capture hacking Tchap

La brèche immédiatement colmatée

Baptisme Robert s’est empressé d’alerter les autorités compétentes, en l’occurrence Matrix, des faiblesses de Tchap. D’après un communiqué disponible sur leur site, la faille a été résorbée. Le directeur interministériel du numérique M. Nadi Bou Hanna a par la suite remercié chaleureusement Baptiste Robert à travers un autre communiqué.

Conscients peut-être que cette faille n’est pas la dernière, les équipes de Nadi Bou Hanna ont annoncé lancer prochainement un concours de chasse aux failles, ouverts à tous les développeurs. Le but est de déceler la moindre faiblesse de sécurité présente sur Tchap. Avec une prime à la clé pour chaque problème soulevé et résolu.