L'Agence gouvernementale française pour le numérique (DINUM) a récemment publié un avis de sécurité indiquant que des pirates ont réussi à envahir la plateforme de communication cryptée interne du gouvernement français, Tchap, en détournant un compte d'utilisateur légitime, ce qui pourrait avoir entraîné un accès non autorisé aux informations personnelles partagées par certains utilisateurs lors de la conversation.

Tchap a été développé conjointement par l'Agence nationale du numérique et l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en 2018. Il s'appuie sur le protocole décentralisé Matrix et se positionne comme un outil de messagerie instantanée et de bureautique collaborative au service du secteur public français. Il n'est ouvert qu'aux usagers du système de service public. L'application n'a cessé de se développer depuis son lancement et compte désormais plus de 300 000 utilisateurs actifs mensuels dans le secteur public français et a été téléchargée plus de 500 000 fois sur le Google Play Store. Début août 2025, le Premier ministre français François Bayrou a publié un avis obligeant tous les fonctionnaires à utiliser Tchap dans leurs communications officielles et interdisant l'utilisation d'applications de communication de fabricants étrangers, élargissant ainsi considérablement le champ d'utilisation et la capacité de transport de données de la plateforme.

La DINUM révèle dans un communiqué publié lundi que l'ANSSI a détecté pour la première fois dimanche un comportement d'intrusion anormal sur la plateforme Tchap. Après une enquête préliminaire, il a été confirmé que l'attaquant avait pénétré dans le système via le compte compromis d'un utilisateur, accédant ainsi à la plateforme de communication cryptée. Après l'incident, DINUM a signalé l'incident de sécurité au régulateur français de la protection des données, la CNIL, car les données personnelles partagées par certains utilisateurs dans le chat peuvent avoir été consultées ou exportées par des attaquants. Dans le même temps, DINUM a également rappelé à tous les utilisateurs de Tchap, soulignant que les forums de discussion publics sur la plateforme sont ouverts à tout utilisateur enregistré et que le contenu de ces salons publics n'a pas de protection par cryptage activée.

DINUM a déclaré avoir verrouillé le compte spécifique à partir duquel la demande malveillante provenait et l'avoir banni immédiatement après avoir découvert le problème afin de couper le canal d'accès continu de l'attaquant et de créer les conditions d'une analyse approfondie ultérieure de son étendue d'accès et des fuites potentielles de données. L'enquête actuelle est toujours en cours et l'équipe technique procède à une comparaison détaillée des journaux d'événements pour déterminer à quelles sessions l'attaquant a accédé, ainsi que le type et l'étendue des données qui ont pu être transmises. Les responsables ont également réitéré qu’aucune information personnelle, sensible ou confidentielle ne doit être partagée dans les forums de discussion publics de Tchap, et que ce contenu doit être communiqué uniquement dans des salons de discussion privés, ce qui constitue une exigence claire dans les conditions d’utilisation de la plateforme.

Bien que DINUM n'ait pas divulgué plus de détails techniques, un attaquant a pris l'initiative de revendiquer la responsabilité de l'incident du week-end et a publié un échantillon de fichiers prétendument volés à Tchap, affirmant qu'il avait accédé à la plateforme après avoir mené une attaque d'ingénierie sociale. L'attaquant a affirmé avoir « obtenu l'accès à un compte valide dans la partition éducative (matrix.agent.education.tchap.gouv.fr) grâce à l'ingénierie sociale » et a souligné que les données exposées n'étaient que le contenu accessible à ce compte unique, et qu'il pouvait y avoir plus de données dans d'autres partitions.

Selon leur propre récit, lors de cette attaque, ils ont obtenu des informations d'identification LDAP soupçonnées d'être codées en dur dans le script. Ces informations d'identification proviendraient d'un script PowerShell partagé par un directeur régional du département des impôts français. De plus, les attaquants ont affirmé avoir exporté plus de 13,5 Go de documents et fichiers multimédias depuis la plateforme Tchap, qui ont été téléchargés et partagés par les agents publics français dans le cadre de leur usage quotidien. Il a en outre déclaré avoir capturé près de 650 000 enregistrements de messages et informations associées sur plus de 73 000 comptes, y compris des éléments sensibles tels que les adresses e-mail des utilisateurs, les informations d'affiliation, les liens de réunion et les métadonnées des comptes et des appareils.

En termes de détails techniques, les attaquants ont également affirmé que l'architecture de Tchap présentait un sérieux défaut : "tous les fichiers qui ont été partagés sur n'importe quel fragment de la plate-forme peuvent être téléchargés sans jeton". Selon celui-ci, une fois obtenu le contenu du message contenant l'URL du média, l'ID du média peut être utilisé pour télécharger directement le fichier correspondant sans authentification, sans être limité par le fragment dans lequel il se trouve. À l’heure actuelle, DINUM n’a pas officiellement confirmé les vulnérabilités techniques spécifiques et l’ampleur des données mentionnées ci-dessus. BleepingComputer a envoyé une demande à DINUM à ce sujet, mais n'a pas reçu de réponse au moment de la publication.

Il convient de noter que le mois dernier, la France a notifié et arrêté un suspect adolescent de 15 ans, accusé d'avoir vendu des données volées à l'agence française des documents de sécurité nationale ANTS (l'agence nationale chargée de la délivrance et de la gestion des documents officiels d'identité et d'enregistrement). L'affaire découle d'une cyberattaque contre ANTS en avril de cette année, à la suite de laquelle les attaquants ont vendu des données volées sur des forums clandestins, ce qui a suscité une inquiétude généralisée dans la société. L’actuel incident d’intrusion Tchap met une fois de plus en évidence les défis complexes en matière de sécurité des réseaux auxquels le secteur public français est confronté dans le processus de transformation numérique. Elle impose également des exigences plus élevées en matière de gestion de la sécurité des comptes, de contrôle d'accès et de stratégies de cryptage des données pour la plateforme de communication interne du gouvernement.