La direction interministérielle du numérique DINUM a annoncé qu’une intrusion survenue sur la plateforme de messagerie chiffrée Tchap a touché les comptes de plus de 73 000 fonctionnaires.
L’organisme gouvernemental a indiqué qu’un acteur malveillant avait pénétré la plateforme en utilisant un compte utilisateur compromis. La DINUM a notifié l’autorité de protection des données CNIL en raison du risque d’exposition de données personnelles. L’attaque concerne environ 9% des utilisateurs inscrits sur Tchap.
Les conversations privées des agents restent protégées par le chiffrement, a précisé la DINUM. En revanche, l’attaquant a pu extraire toutes les informations échangées dans les salons de discussion publics, qui ne sont pas chiffrés. Ces données incluent les noms, prénoms, adresses électroniques, les avatars et l’administration d’appartenance des agents.
Le compte à l’origine des requêtes malveillantes a été identifié et bloqué immédiatement pour couper l’accès persistant de l’attaquant et analyser précisément l’étendue des données consultées.
Un groupe de pirates a revendiqué cette attaque durant le week-end et a partagé un échantillon de fichiers volés. Ils affirment avoir obtenu l’accès à la plateforme via une attaque d’ingénierie sociale. Selon leurs dires, ils auraient récolté près de 650 000 messages et des informations provenant de plus de 73 000 comptes, incluant des liens de réunion, des métadonnées de comptes et d’appareils. Ils déclarent également avoir volé plus de 13,5 gigaoctets de documents et de fichiers multimédias partagés par les fonctionnaires, ainsi que des identifiants LDAP en dur divulgués dans un script PowerShell.
Développée par la DINUM avec l’agence nationale de la sécurité des systèmes d’information ANSSI en 2018, Tchap est un outil de collaboration décentralisé fondé sur le protocole Matrix. Devenue l’application de référence pour les communications professionnelles de la fonction publique en août 2025, elle compte désormais plus de 300 000 utilisateurs mensuels et dépasse les 500 000 téléchargements sur le Play Store de Google.
En mai dernier, les autorités françaises avaient déjà arrêté un adolescent de 15 ans soupçonné d’avoir vendu des données dérobées lors d’une cyberattaque en avril contre l’Agence nationale des titres sécurisés (ANTS), l’organisme chargé de la délivrance des documents d’identité et d’immatriculation.