La DINUM, la direction interministérielle du numérique de l’État français, a annoncé que des pirates informatiques ont utilisé un compte utilisateur piraté pour pénétrer dans Tchap, la plateforme de messagerie chiffrée du gouvernement.
Conçue en interne par la DINUM avec le concours de l’ANSSI, l’agence nationale de la sécurité des systèmes d’information, en 2018, Tchap est un service de messagerie instantanée qui repose sur le protocole décentralisé Matrix. Il est réservé au secteur public français.
Le service dépasse désormais les 300 000 utilisateurs mensuels et a été téléchargé plus de 500 000 fois sur le Play Store de Google. Cette adoption suit une décision du Premier ministre François Bayrou, qui a rendu son usage obligatoire et interdit les applications étrangères pour les communications professionnelles des fonctionnaires depuis début août 2025.
La DINUM a révélé lundi que l’ANSSI avait détecté une intrusion sur Tchap la veille, et qu’une personne malveillante avait accédé à la plateforme sécurisée en utilisant un compte utilisateur compromis.
La direction interministérielle a aussi alerté la CNIL, l’autorité française de protection des données, en raison d’un risque d’exposition des données personnelles échangées dans certaines conversations auxquelles l’attaquant a potentiellement eu accès. Un message a été diffusé à tous les utilisateurs de Tchap pour leur rappeler que les salons de discussion publics sont accessibles à n’importe quel utilisateur et ne sont pas chiffrés.
Lors d’une déclaration lundi, la DINUM a indiqué : « À ce stade, le compte à l’origine des requêtes malveillantes a été identifié. Il a été immédiatement bloqué pour supprimer l’accès persistant de l’attaquant et permettre une analyse approfondie des données qu’il a pu consulter. L’enquête se poursuit, notamment par l’étude des journaux d’événements, pour identifier les conversations auxquelles l’attaquant a pu accéder et la nature des données exfiltrées. »
L’organisme a ajouté : « Un message a été envoyé à tous les utilisateurs de Tchap pour leur rappeler qu’un salon de discussion public peut être découvert et rejoint par n’importe quel utilisateur et que son contenu n’est pas chiffré. Conformément aux conditions d’utilisation de Tchap, aucune information personnelle, sensible ou confidentielle ne doit être échangée dans les salons publics : de tels échanges doivent être réservés aux discussions privées. »
Bien que la DINUM n’ait pas fourni de détails supplémentaires sur cette attaque, une personne malveillante a revendiqué l’incident durant le week-end. Elle a partagé un échantillon de fichiers volés et a affirmé avoir obtenu l’accès à la plateforme via une attaque d’ingénierie sociale.
Cette personne a déclaré : « J’ai obtenu un compte valide sur le serveur dédié à l’éducation par ingénierie sociale. Tout ce qui suit est ce qu’un seul compte pouvait atteindre ; d’autres serveurs contiendraient plus de données. »
Elle prétend avoir volé des identifiants LDAP en dur, qui auraient été divulgués via un script PowerShell partagé par un directeur régional des impôts. Elle affirme aussi avoir exfiltré plus de 13,5 Go de documents et fichiers multimédias échangés par des fonctionnaires sur Tchap.
Selon ces déclarations, les attaquants auraient aussi récupéré près de 650 000 messages et des informations sur plus de 73 000 comptes, qui incluent des adresses électroniques, des données sur l’organisation d’appartenance, des liens de réunion et des métadonnées sur les comptes et les appareils.
La personne a complété son propos en disant : « Chaque fichier jamais partagé sur Tchap, sur n’importe quel serveur, peut être téléchargé sans token. Les identifiants des médias proviennent des messages. Dès que vous avez un message avec une URL de média, vous pouvez récupérer le fichier librement, quel que soit le serveur qui l’héberge. »
Le mois dernier, les autorités françaises ont interpellé un adolescent de 15 ans, soupçonné d’avoir vendu des données volées lors d’une cyberattaque survenue en avril contre l’ANTS, l’agence nationale des titres sécurisés, qui est chargée de la délivrance et de la gestion des titres d’identité et d’immatriculation officiels.