Tchap : lancement raté pour la messagerie instantanée au service de la France

Mickaël Bazoge |

Tchap n’est pas qu’une énième messagerie instantanée. Développée par la direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC), cette application — également disponible sur Android — est la messagerie sécurisée destinée aux membres du gouvernement et aux administrations, bref, à tous les agents de la fonction publique d’État. Ces derniers peuvent également envoyer des invitations.

Sans adresse mail qui se termine en .gouv.fr ou une invitation, impossible d’aller plus loin que le panneau de connexion.

Les conversations, chiffrées de bout en bout, sont stockées sur des serveurs appartenant à l’État. À l’heure actuelle, il n’est possible que de s’envoyer des messages texte, mais à terme Tchap (en hommage à Claude Chappe, inventeur du sémaphore) permettra de passer des appels audio et vidéo.

L’objectif de la DINSIC est d’inciter les agents de l’État à utiliser cette messagerie plutôt que WhatsApp ou encore Telegram. D’une part, les conversations resteront en France, et puis l’application n’est pas opérée par une entreprise privée… même si elle a été développée avec du code open-source en tandem avec New Vector, une start-up franco-britannique. Le code est accessible sur GitHub à cette adresse.

Tchap n’a pas vocation à s’ouvrir au-delà des membres du gouvernement et de l’administration, même si les utilisateurs pourront ponctuellement inviter des personnes extérieures (dans le cadre de groupes de travail public/privé). Il y aurait au passage sans doute une clientèle intéressée par une messagerie de « service public » 100% française… pour peu que le service soit réellement sécurisé !

Car il y a un gros « mais » : le lancement ce jeudi de l’application a été entaché par la découverte d’une grosse faille ! Le chercheur en sécurité, Baptiste Robert, alias Elliot Alderson, alias @fs0c131y a très rapidement mis au jour une vulnérabilité qui, en substance, permet à n’importe qui de se connecter sur la messagerie.

Il suffit en fait d’ajouter à son adresse de connexion @presidence@elysee.fr… Un correctif a été déployé très vite du côté de Matrix, le protocole de communication utilisé par l’app, qui indique par ailleurs que la faille n’a pas été exploitée (via 01net). Il faut maintenant attendre que la mise à jour soit déployée dans l’application elle-même.

Source
AFP, Challenges, merci Benoît !
Tags
avatar FloMo | 

Et une faille a déjà été trouvée par Elliot Alderson (Baptiste Robert)

C’est le jeu quand on affirme qu’un système est sécurisé.

avatar alexis83 | 

Signal ? d’ailleurs ce serait bien un système de pseudo pour communiquer avec un inconnu du net ça permettrai de ne pas échanger nos numéros de téléphone pour pouvoir discuter sur la messagerie !

avatar reborn | 

@alexis83

wickr fonctionne sans email et sans numero

avatar alexis83 | 

@reborn

Messagerie aussi sécurisé ? Intéressant ce que tu dis

avatar reborn | 

@alexis83

Bien sur

avatar alexis83 | 

@reborn

Hum le code source n’est pas ouvert donc on ne sait pas vraiment ce qu’ils font... je continue mes recherche sur cette app

avatar reborn | 

@alexis83

Korben nous en dit plus

avatar alexis83 | 

@reborn

Merci pour l’article, du coup ce sera sans moi ?

avatar Dark-mac | 

Le code source de l'app est dispo ici on dirait : https://github.com/dinsic-pim/tchap-ios

avatar Mickaël Bazoge | 
Tout juste ! Je vais l'ajouter.
avatar iPop | 

"cette messagerie plutôt que WhatsApp ou encore Telegram. D’une part, les conversations resteront en France, et puis l’application n’est pas opérée par une entreprise privée…"
C’est les mêmes qui veulent privatiser les aéroports et permettre les malandrins de circuler librement ?

avatar CorbeilleNews | 

@iPop

Oui c'est ceux là ! Fais ce que je te dis mais pas ce que je fais ...

avatar freewheelinfranklin | 

@iPop

Heu - privatiser les espaces commerciaux des aéroports.
Et j’aimerais bien savoir comment il est prévu à des malandrins de circuler librement, quand je croise un expert j’en profite pour m’instruire. Merci !

avatar iPop | 

@freewheelinfranklin

C’est pas moi qui le dit mais si des politiques le soumettent c’est qu’ils ont bien des raisons.
Étant consommateur de produit APPLE, vous devriez très bien connaître cela. Système ouvert= sécurité faible.

Mais ce qui m’emmerde dans toute cette histoire c’est de voir la gauche, à son habitude, raisonner la droite sur l’impact des emplois. Qu’est ce que les gens de droite en ont à foutre ?

avatar fondoeil | 

@iPop

Parce que la Gauche en a quelque chose à faire des emplois ?? Taux de chômage en 1980 : 6,8% ; taux de chômage après 14 ans de présidence Mitterand (certes avec un peu de cohabitation) : 12,1%...

avatar Bigdidou | 

« Il suffit en fait d’ajouter à son adresse de connexion @presidence@elysee.fr »

A sa place, je vérifierais aussi @TEST, @Azerty1 et quelques autres.
A ce niveau là, on doit pouvoir en trouver un ou deux.

avatar reborn | 

@Bigdidou

Sans oublier @admin

avatar Nixam | 

@Bigdidou

Merci pour ce bon moment

avatar Crist'o | 

« Tchap n’a pas vocation à s’ouvrir au-delà des membres du gouvernement et de l’administration (il y aurait sans doute une clientèle intéressée par une messagerie de « service public » 100% française). »

HS. Pour le grand public, messagerie classique, pas franco-française mais suisse, voir ProtonMail, chiffrement de bout en bout entre utilisateurs Proton ou aussi chiffrement avec mot de passe de déchiffrement entre utilisateurs Proton et non Proton, mise à disposition de clés publiques et privées pour utilisateurs experts, appli Mail cliente sous IOS, Android et Web, bien dotée en fonctionnalités avancées, bridge possible avec Mail Mac OS, gestion de noms de domaines multiples, etc... bien documentée et très bon support client... pour 4€ par mois.

En suis très satisfait et je recommande. Ici https://protonmail.com/fr/

Dans la logique des choses, ProtonVPN fait également partie de l’offre Proton, service plus récent, robuste mais moins abouti, notamment une latence excessive sur certains serveurs VPN du parc. Mais... plein de promesses car l’équipe a de beaux pédigrées. A suivre avec intérêt... là https://protonvpn.com

avatar iBorg | 

@Crist'o

Ce n’est pas la même chose. Tchap s’adresse aux membres de l’administration authentifiés comme tels. C’est plutôt un outil de travail collaboratif pour la fonction publique, pas du tout un « messenger français ».

avatar occam | 

John le Carré disait que, pour garder un secret, il suffisait de le publier en clair au Journal Officiel.
Vu comme cela, Tchap a l’allure d’une entreprise de désinformation.

avatar David Finder | 

Et du coup, si on la télécharge avant le correctif, on peut s’y inscrire en ajoutant le « code secret » ?

avatar reborn | 

@David Finder

+1

Et je me demande aussi si il y aura une version Tinder de l’app ? ahah

avatar lulubotine | 

La France dans toute sa splendeur !

avatar JackOne | 

@lulubotine

vous n’avez jamais vu de bug, de faille chez les concurrents, chez FB ?!

c’est des gens comme vous qui font honte à la France et à n’importe quel autre pays dont vous serez citoyen

avatar YAZombie | 

@ lulubotine: rien de plus France dans toute sa splendeur que ton commentaire.

avatar stefhan | 

@lulubotine

Et qu’avez-vous à proposer ?

avatar RenaudL | 

Ils auraient pu déployer Citadel, développé et hébergé par Thales

avatar chriseg | 

« Tchap » pour hommage à Chappe, inventeur du télégraphe

avatar hellonearth | 

Disons que c’est plutôt Tcheap que Tchap pour le moment
Ok je >>>>>>

avatar reborn | 

@hellonearth

???

avatar LeFrenchFab | 

Ou quand l'Etat français réinvente (encore...) la roue...

Tchap a un petit goût du projet raté de Cloud souverain...

https://www.pro-fusion.biz/blog/2019/4/18/les-echos-les-ministres-pries-...

avatar Hideyasu | 

Le mieux ça serait une vraie politique européenne de protection des données (avec stockage de données des européens en Europe) et une vraie application du RGPD, on commencerai à avoir un truc correct avec ça.

Mais non, ça serait pas drôle

avatar informacyde | 

Code rouge...

CONNEXION UTILISATEUR