Le 8 juin 2026, la Direction interministérielle du numérique (DINUM) a confirmé la compromission de Tchap, la messagerie des agents publics. Depuis, la réalité de l’incident est coincée entre deux narratifs : celui d’une institution qui veut rassurer, et celui d’un cybercriminel qui veut vendre.

C’est une mécanique que l’on observe à pratiquement tous les incidents cyber, notamment lorsqu’ils touchent un outil de l’État.

Le 7 juin 2026, l’ANSSI — le service qui assure la protection cyber des services étatiques — a détecté une compromission de Tchap, la messagerie instantanée chiffrée de l’administration, à la suite de l’usurpation d’un compte utilisateur.

La DINUM a communiqué le lendemain, avec la méthode classique des communiqués cyber, où l’objectif principal est de rassurer. Le compte à l’origine des requêtes malveillantes a été identifié et immédiatement bloqué. L’historique de conversations privées, chiffrées de bout en bout, n’a pas été compromis selon la DINUM, et les échanges susceptibles d’avoir été consultés se limiteraient, selon leurs éléments, au contenu des salons publics, ouverts par conception à l’ensemble des utilisateurs. La CNIL a été notifiée, les agents alertés.

La position est défendable. Dans cet incident, il n’y a pas d’indication que le protocole de chiffrement ait été cassé ; l’attaque repose sur l’usurpation d’un compte, pas sur une faille du chiffrement.

Reste que cette communication officielle a aussi une fonction : protéger une image. Depuis juillet 2025, Tchap est en effet devenu le canal officiel pour les agents et les cabinets ministériels et un pilier affiché de la souveraineté numérique française. Le communiqué n’indique pas comment le compte a été compromis, ni si des mesures auraient pu éviter cet incident.

Dans sa communication, la DINUM insiste sur le fait que l'intrusion est maitrisée // Source : DINUM
Dans sa communication, la DINUM insiste sur le fait que l’intrusion est maitrisée // Source : DINUM

Ce que prétend le hacker

Lorsque la DINUM publie son communiqué, cela fait déjà plusieurs heures qu’en face, un cybercriminel, qui opère sous le pseudonyme « misere », publie sur le dark web une revendication aux chiffres spectaculaires.

73 467 comptes d’agents publics, 643 459 messages, 876 salons, 59 386 fichiers représentant 13,5 Go de données, couvrant une période allant de juin 2023 à juin 2026 et 90 occurrences de documents estampillés « Diffusion restreinte ». Des volumes, largement relayés dans la presse et sur les réseaux sociaux, qui n’ont pas été confirmés par la DINUM à ce stade.

Le cybercriminel affirme également avoir eu accès à des salons regroupant des agents de plusieurs ministères : Intérieur, Finances, Armées, Justice, Éducation nationale, et annonce avoir « déjà trouvé quelques très bonnes prochaines cibles. »

Encore ici, ce type de communication obéit à sa logique propre. Sur les forums du dark web, la valeur d’un lot de données se négocie sur la base de sa taille et de sa sensibilité apparente. Gonfler les chiffres, citer des ministères régaliens, insister sur la durée de l’exposition, tout cela peut servir à maximiser le prix de revente ou la notoriété du vendeur. Il est donc possible que le vendeur pousse son avantage au maximum, mais cela ne peut pas être établi avec certitude à ce stade. L’intérêt à exagérer est aussi réel que l’intérêt adverse à minimiser.

Vérifier indépendamment ces chiffres relève par ailleurs du défi : l’accès aux données revendiquées est conditionné à un paiement, les éventuels échantillons publiés peuvent être fabriqués ou partiels, comme ça a pu être le cas lors d’autres incidents sensibles.

Ce qu’on sait avec certitude

Entre ces deux récits, quelques points restent solides. L’incident ne porte pas sur les serveurs de Tchap mais sur un compte utilisateur compromis, depuis lequel l’attaquant a pu parcourir les salons publics hébergés sur la plateforme. Ces salons, non chiffrés par conception, contenaient potentiellement des adresses email professionnelles, des noms d’agents, des métadonnées d’organisation et des fichiers partagés.

Tchap est aujourd’hui utilisé par environ 300 000 agents, un compte compromis peut ainsi suffire à cartographier une partie significative du tissu interministériel.

Les investigations se poursuivent, notamment via l’analyse des journaux d’événements. C’est à leur issue que la vérité de cet incident prendra forme. En attendant, la mécanique cyber suit son cours.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !