Un chercheur découvre une faille de sécurité sur Tchap, la messagerie sécurisée réservée aux services de l'Etat

Baptiste Robert, connu sur Twitter sous le pseudo d'Elliot Alderson, est parvenu à s'inscrire sur l'application et à avoir accès aux salons et profils publics. Ce bug a depuis été identifié et corrigé.

Des journalistes assistent à la conférence de presse du gouvernement après le Conseil des ministres consacré à la restauration de Notre-Dame de Paris, le 17 avril 2019.
Des journalistes assistent à la conférence de presse du gouvernement après le Conseil des ministres consacré à la restauration de Notre-Dame de Paris, le 17 avril 2019. (LUDOVIC MARIN / AFP)

Débuts manqués pour l'application de messagerie Tchap, qui doit remplacer Telegram et WhastApp dans les services de l'Etat français. Quelques heures après son lancement, mercredi, un expert informatique est parvenu à exploiter une faille de sécurité pour faire enregistrer son inscription comme un employé lambda de l'Elysée, révèle BFM Tech, vendredi 19 avril.

Pour pouvoir s'inscrire à ce service, il faut avoir une adresse mail terminant par gouv.fr ou elysee.fr. Mais le chercheur Baptiste Robert, connu sur Twitter sous le pseudo d'Elliot Alderson, est parvenu à intercepter les échanges entre le formulaire d'inscription de l'application et les serveurs, explique BFMTV. Il a ensuite inscrit sa propre adresse mail personnelle avec le suffixe elysee.fr. Cette manipulation a fonctionné à merveille. Le chercheur a reçu un mail de confirmation et a pu se connecter à la messagerie.

Du fait d'un problème de filtrage sur l'adresse email lors de l'inscription, j'ai réussi à m'inscrire sur l'application en tant qu'employé de l'Elysée sans avoir d'adresse mail officielle. J'ai ainsi eu accès à tous les salons et profils publics.Baptiste Robert, chercheur en informatiqueà BFM Tech

Après être parvenu à accéder à cet espace théoriquement sécurisé, le chercheur a rapidement alerté les autorités sur Twitter.

"Cette faille de sécurité a été identifiée et corrigée", explique à BFM Tech une porte-parole de la direction interministérielle du numérique et du système d'information et de communication de l'Etat (DINSIC). Ce faux départ fait en tout cas mauvaise impression, alors que l'application Tchap doit renforcer la sécurité nationale, en permettant d'éviter le stockage de données sensibles sur des serveurs étrangers. Les promoteurs du service, en tout cas, peuvent s'estimer heureux d'avoir été bernés par un individu bien intentionné.