La messagerie privée sécurisée Tchap, réservée aux services de l’Etat français, avait un bug qui permettait à des intrus d’y pénétrer, et qui a été corrigé, selon l’administration et le chercheur en cybersécurité qui a trouvé la faille. Mardi, le directeur interministériel du numérique Nadi Bou Hanna avait indiqué que l’Etat avait commencé à déployer une messagerie interne sur le modèle de Whatsapp ou Telegram, chiffrée de bout en bout et hébergée en France.
Mais jeudi matin, un chercheur en cybersécurité, Baptiste Robert, connu sur Twitter sous le pseudo d’Elliot Alderson, a trouvé en une heure un moyen de se connecter sur la messagerie, sans avoir l’adresse professionnelle en .gouv en théorie nécessaire pour accéder au service. Il a prévenu les services de l’Etat, et la faille a été corrigée en début d’après-midi par Matrix, la fondation qui gère l’application de messagerie dont Tchap est un dérivé.
Bientôt une prime pour les chasseurs de faille
Interrogé par l’AFP, Nadi Bou Hanna a dit « assumer » qu’un bug puisse être découvert après le lancement de l’application. « Soit vous attendez d’avoir un produit fini parfait, soit vous prenez le risque de lancer le produit» plus vite, en sachant qu’il y aura des « bugs de jeunesse», a-t-il expliqué. « On en rencontrera certainement d’autres», a-t-il ajouté. « Nous sommes reconnaissants» à Baptiste Robert d’avoir décelé la faille « et nous l’avons remercié», a-t-il dit. Tchap doit permettre aux fonctionnaires de disposer d’une messagerie instantanée chiffrée dont les données sont stockées en France, a-t-il indiqué.
Mais elle n’est pas prévue pour échanger des messages classifiés, a-t-il précisé. Dans un communiqué de presse vendredi, les services de M. Bou Hanna (direction interministérielle du numérique, Dinsic) ont précisé que l’administration lancerait prochainement un concours de « chasse aux failles» pour Tchap. Dans ces programmes, les développeurs qui trouvent des failles dans l’application sont récompensées par une prime. Baptiste Robert est un développeur indépendant, qui à ses heures perdues cherche des failles pour faire progresser la sécurité informatique. « Je ne gagne pas d’argent avec les failles que je trouve», a-t-il expliqué à l’AFP. « Je cherche à aider les entreprises à les réparer».
Baptiste Robert est connu pour avoir débusqué plusieurs failles d’ampleur dans des applications grand public. Il s’est notamment illustré récemment en Inde en démontrant le manque de sécurité de Kimbho, une application de messagerie instantanée indienne qui devait concurrencer Whatsapp. La messagerie n’a finalement jamais pris son envol. Elliot Alderson est le personnage principal de la série américaine Mr. Robot. Jeune programmeur peu sociable, il est ingénieur en cybersécurité le jour, et hacker justicier la nuit.
- Pourquoi le CRM doit devenir un copilote, pas juste un carnet d’adresses - 30/04/2025
- Pourquoi vos concurrents changent-ils leur site ? Apprendre à lire entre les lignes avec les bons outils - 30/04/2025
- Comment espionner légalement vos concurrents (et gratuitement) : guide express des Ad Libraries - 30/04/2025
