Aujourd’hui, l’État lance Tchap, sa propre messagerie instantanée, en version bêta. Développée au sein de l’administration et destinée aux agents de l’État elle vise à offrir une alternative sécurisée aux applications grand public telles Whatsapp ou Telegram.

Plutôt qu’une démonstration de force, il s’agît d’une démonstration de faiblesse.

En effet, l’application a déjà été piratée par un certain Elliot Alderson, un chercheur en sécurité français qui a notamment, déjà exposé les faiblesses de Kimbho, le « WhatsApp indien ».

Il décide de bloquer une heure pour analyser l’application. Il s’aperçoit qu’elle est open source, et basée sur l’application open source riot.im de Matrix.

Il découvre qu’en fonction de l’adresse de courriel, on est connecté au serveur de messagerie adéquat, dont la liste est contenue dans un fichier au format xml :

  • matrix.agent.dev-durable.tchap.gouv.fr pour le ministère de la Transition écologique et solidaire ;
  • matrix.agent.justice.tchap.gouv.fr pour le ministère de la Justice ;
  • matrix.agent.elysee.tchap.gouv.fr pour l’Élysée, et ainsi de suite.

Pour accéder à la messagerie, il suffit d’avoir une adresse de courriel sur l’un des serveurs du gouvernement, comme @elysee.fr ou @xx.gouv.fr.

Il utilise alors l’adresse fs0c131y@protonmail.com@presidence@elysee.fr.

Il reçoit alors un courriel lui confirmant son inscription ! Il a accès aux salons publics.

Il découvre que c’est lié à un bogue du module Python email.utils, une vulnérabilité de sécurité connue depuis juillet 2018 et toujours pas corrigée depuis…

Alderson a immédiatement contacté Matrix, qui a publié un correctif pour riot.im, repris pour Tchap. Par chance, Alderson a eu envie de s’intéresser à l’application la veille, et non le jour même du lancement officiel, ce qui évite une certaine honte au gouvernement, qui modifie son communiqué de la sorte :

Cette version bêta fera l’objet d’une amélioration continue, tant en termes d’ergonomie que de sécurité. Ainsi, la DINSIC se tient à l’écoute des experts de la société civile, et prendra en compte tout retour qu’ils lui remonteraient en vue d’améliorer l’application, comme ce fut le cas pour une faille – d’impact mineur – détectée le 18 avril et corrigée en quelques heures. Pour aller plus loin, la DINSIC lancera prochainement un « bug bounty ».

Le fait qu’Alderson n’ait eu besoin que de 75 minutes pour s’introduire dans le système ne rassure pas sur la qualité de l’application, ni sur les capacités de test de la Dinsic (la direction interministérielle du numérique et du système d’information et de communication de l’État), ou de l’ANSSI – si cette dernière a été mise à contribution.