Censée convaincre les fonctionnaires d’abandonner WhatsApp ou Telegram, Tchap comportait un défaut de sécurité, détecté la veille de son lancement officiel.

Censée convaincre les fonctionnaires d’abandonner WhatsApp ou Telegram, Tchap comportait un défaut de sécurité, détecté la veille de son lancement officiel. / Numerique.gouv.fr

Tchap, la nouvelle application sécurisée du gouvernement, a été développée pour attirer les ministres et les fonctionnaires français hors de WhatsApp ou Telegram.

Elle connaît cependant des débuts difficiles. Il n’a en effet fallu attendre qu’une poignée d’heures après son apparition, mercredi dernier, sur les magasins d’applications Apple et Android, pour qu’un expert en sécurité y décèle une faille de sécurité.

Un comble pour cette application censée offrir un niveau de sécurité au moins équivalent à ses concurrentes grand public et que les meilleurs experts de l’Etat sont supposés avoir examinée. Baptiste Robert, un expert des applications mobiles, a découvert que n’importe qui pouvait s’y créer un compte, un privilège en théorie accessible aux seuls détenteurs d’adresse e-mail de l’Etat. N’importe qui pouvait ainsi avoir accès aux salons de discussions publics. La sécurité des communications, protégée par du chiffrement, n’a cependant jamais été en cause.

Un défaut rapidement corrigé

Le problème, signalé à la direction interministérielle du numérique et du système d’information et de communication de l’Etat (Dinsic), responsable de l’application, a été rapidement corrigé. Nadi Bou Hanna, directeur de la Dinsic, a expliqué qu’il était normal pour l’application de rencontrer des « bugs de jeunesse ». « On en rencontrera certainement d’autres », a-t-il ajouté, tout en se disant « reconnaissant » à Baptiste Robert d’avoir décelé la faille. Un « bug bounty », un concours destiné à récompenser les découvreurs de failles de sécurité, doit être lancé prochainement.

Les experts de l’Etat ne sont pas partis de rien pour créer Tchap : ils se sont basés sur le code de Riot, une application mobile utilisant le protocole de communication Matrix. C’est au sein de ce protocole que se nichait la faille.

Le but de Tchap, nommée ainsi en hommage au télégraphe optique de Claude Chappe, n’est pas d’héberger des discussions classifiées, par exemple secret-défense. Les agents de l’Etat qui ont « à en connaître » disposent pour cela d’autres outils. Le but est plutôt de fournir une application de messagerie – la discussion audio et vidéo doit bientôt être ajoutée – facile d’utilisation, dont le code est maîtrisé par l’Etat, d’un niveau de sécurité raisonnable et conservant les données sur le territoire national. Le but est clairement de convaincre les commis de l’Etat de renoncer à WhatsApp – qui appartient à Facebook et, à ce titre, partage certaines informations – ou Telegram, dont le mécanisme de chiffrement n’est pas systématiquement activé.