Un pirate affirme avoir aspiré des centaines de milliers de messages sur la messagerie sécurisée de l’État

Mise en place depuis 2019, la messagerie Tchap cochait toutes les bonnes cases de la cybersécurité contre les ingérences étrangères et la souveraineté. Elle avait été validée par l'Ansii, l'agence gouvernementale chargée de la sécurité des systèmes d'information en France.

Seulement voilà, selon le site FrenchBreaches, un cybercriminel affirme avoir accédé à la plateforme via un compte compromis lié à l'Éducation nationale. À partir de cette brèche, il est parvenu à moissonner des espaces collaboratifs de plusieurs ministères : Intérieur, Armées, Justice, Affaires étrangères, Économie... Quelque 73 467 agents de ces ministères se sont fait absorber 643 459 messages, 59 386 fichiers pour un total de 13,51 Go de données.

Pire encore, 90 documents récoltés portent la mention « Diffusion restreinte ». La période de cette collecte s'étend de juin 2023 à juin 2026. Pour le moment, le gouvernement n'a pas encore réagi à l'affirmation du pirate.

La messagerie gouvernementale Tchap vient de subir une fuite de données massive. © SB, avec ChatGPT

Tchap : la souveraineté numérique en action

Pour comprendre la portée symbolique de l'incident, il faut rappeler ce que représente Tchap. Développée par la Direction interministérielle du numérique (Dinim), l'application repose sur le protocole open source Matrix. Le chiffrement se fait de bout à bout via l'algorithme Olm/Megolm.

Pour qu'aucune donnée ne transite hors de France, chaque ministère opère son propre serveur (homeserver Synapse) et les données sont hébergées sur le cloud du ministère de l'Intérieur. Neuf ministères peuvent transmettre via Tchap des messages classés en « Diffusion restreinte ».

Cent pour cent souverain, Tchap échappe donc à toute réglementation étrangère, contrairement aux applications américaines populaires comme WhatsApp ou Teams. Depuis septembre 2025, Tchap est donc la messagerie officielle obligatoire pour l'ensemble des cabinets ministériels. La plateforme compte plus de 400 000 agents utilisateurs.

Le prétendu pirate affirme avoir collecté des centaines de milliers de messages, des dizaines de milliers de fichiers et même des documents confidentiels. © FrenchBreaches

Autopsie rapide de l’attaque de Tchap

Pour le moment, si rien n'est confirmé, le vecteur d'attaque serait l'exploitation du compte d'un utilisateur. Autrement dit, il n'y a pas de faille d'ordre technique, mais plutôt une vulnérabilité globale, puisqu'un compte d'utilisateur authentifié peut parcourir l'ensemble des salons publics interministériels.

La faute à une interconnexion par conception de l'ensemble des serveurs. Le chiffrement de bout en bout protège les messages privés, pas l'accès aux espaces ouverts depuis un compte légitime.

Ce n'est pas la première fois que la sécurité de Tchap est remise en question. Dès son lancement en 2019, Tchap comportait un bug dans son système de vérification des adresses e-mail lors de l'inscription. Un chercheur en cybersécurité avait contourné le filtre censé réserver l'accès aux seuls agents de l'État. Il avait pu ouvrir un compte sans en avoir le droit. Ce compte lui avait permis d'accéder aux salons publics, mais pas aux conversations privées qui sont, elles, protégées par un chiffrement de bout à bout.

Cette affaire ne vient pas arranger l'impression d'une grosse vulnérabilité de l'ensemble des systèmes informatiques français. En janvier, la plateforme HubEE, qui permet de réaliser des démarches administratives, avait exposé 160 000 documents. En avril, c'est France Titres (ANTS) qui avait subi une fuite pouvant affecter potentiellement 11,7 millions de comptes.