Tchap a trébuché à son lancement. La messagerie souveraine de l’État a connu sa toute première faille de sécurité, repérée quelques heures à peine après le lancement de l'application.

Mise à jour du 20 avril : Le gouvernement a fait savoir via un communiqué transmis à Numerama que la faille avait été corrigée le jeudi 18 avril. Le gouvernement a pris contact avec Baptiste Robert dès qu’il a eu connaissance de l’existence d’une faille et a « aussitôt désactivé la fonctionnalité de création de compte touchée par cette faille ». Quelques heures plus tard, elle était corrigée. Elle provenait, d’après le communiqué, d’un module open source Python qui servait au filtrage des adresses mails (pour s’assurer que seuls des agents de l’États pouvaient accéder à l’application). Baptiste Robert est le seul à avoir exploité la faille et aucune information confidentielle n’a été compromise, est-il précisé. Il a par ailleurs été indiqué que Tchap n’a pas vocation à traiter d’informations très sensibles.

Retrouvez ci-dessous l’article original daté du 19 avril :

Les débuts sont laborieux pour Tchap. La nouvelle messagerie instantanée interne à l’État, qui doit permettre aux agents de la fonction publique de discuter en sécurité sans avoir à recourir à à une solution étrangère, vient déjà de connaître son premier incident. Dès le lendemain de la sortie officielle de l’application sur Android et iOS, le 18 avril 2019, un expert en sécurité informatique a annoncé une faille dans l’inscription.

En principe, Tchap n’accepte que les internautes utilisant une adresse mail officielle, comme @gouv.fr ou @elysee.fr. Le grand public n’est pas la cible de ce logiciel. Il y a toutefois la possibilité pour une personne extérieure de s’inscrire sur Tchap, à condition qu’elle reçoive une invitation sous la forme d’un lien d’inscription par un membre déjà présent sur Tchap.

Mais c’était sans compter Baptiste Robert, un spécialiste en sécurité informatique.

Tchap
Le logo de Tchap.

Forcer l’inscription

Intrigué de savoir si la plateforme offrait un niveau de sécurité vraiment satisfaisant, surtout pour un programme qui prétend accueillir des informations relativement confidentielles, il a commencé à explorer son code source. Bien lui en a pris, car au bout d’une heure et quelques de tâtonnements et d’essais, il a fini par réussir à valider son inscription dans Tchap.

La méthode employée par Baptiste Robert a fait l’objet d’une publication sur Medium, qui résume les grandes lignes de son approche. Après avoir décompilé Tchap et procédé à l’analyse de ses lignes de code, l’informaticien a désactivé des certificats de sécurité. À partir de là, il a voulu s’envoyer un mail de validation en proposant une adresse mail qui ressemblerait à une adresse mail officielle.

Une cible devait donc être sélectionnée. Il a opté pour le palais de l’Élysée (qui utilise des mails en @elysee et passe par le serveur dédié matrix.agent.elysee.tchap.gouv.fr) et a d’abord tenté de proposer une adresse de type « lemail@lefournisseur@elysee.fr ». Mais cela n’a rien donné. Mais alors, peut-être que le service requiert un mail valide pour envoyer une invitation ?

Palais de l'Elysée
Le Palais de l’Elysée. // Source : Nicolas Nova

Baptiste Robert a donc cherché une adresse mail connue de l’Élysée et a recommencé la manœuvre avec « lemail@lefournisseur@presidence@elysee.fr ». Habile. Une invitation lui a donc été envoyée sur son mail, depuis lequel il a pu rejoindre Tchap et parcourir les salons publics déjà ouverts. On relève d’ailleurs que Tchap est déjà utilisé par plusieurs centaines d’agents publics, au regard de la fréquentation des salons.

Parmi ceux que l’on voit dans les captures d’écran, il y en a un dédié au retour d’expérience sur l’emploi de Tchap, un autre pour le personnel du ministère de l’Intérieur, un autre pour l’OS souverain CLIP OS, un autre sur la sécurité des systèmes d’information, un dédié aux opportunités en informatique et un dernier qui traite de la mutualisation interministérielle pour les logiciels libres.

Faille colmatée

Inutile de vous évertuer à tenter la même chose : la faille trouvée par Baptiste Robert a été colmatée par les équipes en charge de Matrix, un standard ouvert sur lequel repose Tchap. L’informaticien a en effet pris soin de signaler sa trouvaille aux techniciens, mais aussi aux autorités en charge de l’application mobile. Plusieurs coups de fil ont ainsi été passés. Il faut dire que Baptiste Robert s’était montré d’emblée très alarmiste.

L’équipe de Matrix a précisé que le problème est spécifique au déploiement de la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC), qui est en charge de Tchap. « Nous travaillons avec eux sur le déploiement d’un correctif », a-t-elle ajouté. Celle-ci a par ailleurs publié un billet de blog donnant quelques précisions techniques complémentaires sur l’affaire.

Matrix
Matrix.

Tchap fait ses premiers pas

Comme souvent, l’affaire a suscité son lot de moqueries. Rendez-vous compte : on vient de découvrir une faille de sécurité dans une application du gouvernement censée être sûre ! N’est-ce pas là un nouvel exemple de l’incompétence informatique de l’État ? Il faut faire remarquer toutefois qu’une application sécurisée qui l’est totalement n’existe pas. Il y a toujours des interstices, techniques ou humaines, à exploiter.

Sans doute y aura-t-il d’autres faux pas de Tchap et il faut au contraire se réjouir que des contributeurs comme Baptiste Robert mettent à l’épreuve l’application et rapporte de façon responsable toutes les fragilités repérées lors de leurs investigations. Rappelons en outre que les fondations sur lesquelles repose Tchap sont publiques. N’importe qui peut contribuer s’il en a les compétences.

D’aucuns diront sans doute qu’il aurait mieux valu passer (ou rester) sur WhatsApp ou Telegram. Mais faut-il dépendre de solutions étrangères, l’une appartenant à Facebook et l’autre d’origine russe, pour faire transiter des discussions internes de l’État ? Surtout lorsque l’on sait que certaines solutions ne sont pas au niveau ? Tchap a sans doute encore des choses à améliorer, mais le projet a du sens.

Partager sur les réseaux sociaux