Il y a quelques semaines, Mounir Mahjoubi, alors secrétaire d’État chargé du Numérique, faisait part de sa volonté de mettre en place une messagerie instantanée ultra sécurisée et 100 % française pour que les membres du Gouvernement, les parlementaires et les hauts fonctionnaires puissent communiquer de façon totalement confidentielle. Un projet louable dans la mesure où nombre de ces dignitaires utilisent quotidiennement des outils ordinaires, comme WhatsApp ou Messenger pour s’échanger des informations souvent sensibles. Beaucoup de hauts responsables emploient Telegram, qui crypte les communications, mais l’origine russe de cette messagerie très populaire dans certains milieux n’était pas de nature à rassurer les autorités.
D’où l’idée de créer et de préconiser une solution « souveraine », avec des communications chiffrées de bout en bout et des serveurs d’Etat situés en France. C’est ainsi qu’est née Tchap, qui a été lancée officiellement ce mardi 17 avril. Compatible Android et iOS et disponible sur le Play Store de Google et l’App Store d’Apple, cette messagerie instantanée ultra sécurisée est toutefois réservée exclusivement à des utilisateurs triés sur le volet, avec des adresses mail du type mail de type gouv.fr ou elysee.fr. Bref, un outil sûr et certifié, garantissant la confidentialité et l’intégrité des communications entre les représentants de l’Etat.
Seulement voilà : dès le lendemain du lancement de Tchap, un chercheur en sécité – qui se surnomme Elot Alderson – découvrait une faille de sécurité béante. De fait, sans avoir d’adresse mail conforme, il a réussi à s’inscrire sur la messagerie en tant qu’employé de l’Elysée – en ajoutant simplement @ à son adresse personnelle –, ce qui lui a permis d’accéder à tous les salons publics de conversation, aux profils de tous les inscrits et à d’autres informations. En bon citoyen, et après avoir publié un tweet d’alerte, il est entré en contact avec es services de l’Etat et les développeurs de Matrix, le protocole de communication utilisé par Tchap, et un correctif a été déployé dès le mercredi après-midi.
Selon les responsables de l’application, personne d’autre n’aurait utilisé cette faille entretemps. Mais la bourde fait tâche, et on a connu des démarrages plus glorieux. D’autant que plusieurs experts en sécurité mettent en doute l’aspect souverain de l’application, du fait qu’elle exploite des services Web de Google, notamment le système de notifications Firebase Messaging. Pas de risque a priori pour le contenu des messages, qui sont chiffrés, mais, aux dires des spécialistes, cela pourrait des problèmes avec les métadonnées. Affaire à suivre donc.
Illustration : © Tchap
https://platform.twitter.com/widgets.js
Ajouter un commentaire