Accueil Sécurité Tchap, la messagerie de l’Etat, attendue pour début 2019

Tchap, la messagerie de l’Etat, attendue pour début 2019

Enquête – Mise à jour du 6 décembre.

Elle avait le nom de code Tchap. Il est aujourd’hui officiel. La messagerie chiffrée développée par l’Etat français, sur une base d’open source, avait été annoncée en avril de cette année, pour mise en place dès l’été. Elle n’est toujours pas déployée à ce jour. Une conférence d’information se tenait fin novembre, pour faire le point sur le projet, réunissant ses 3 principaux acteurs. Bref historique en préambule.

Rappel : le communiqué du 20 avril

Prévu pour offrir des fonctionnalités de téléphonie, de messagerie instantanée, mais aussi de transfert de fichier, le projet a été porté par la Direction interministérielle des systèmes d’information et de communication de l’Etat (Dinsic) avec une forte implication de l’Anssi.

Annonce anticipée ? L’expérimentation a bien démarré dès juillet. Mais le travail sur la sécurité avec le support de l’ANSSI a retardé la mise en oeuvre. Par ailleurs, le conseil des ministres du 24 octobre annnonçait le départ du sponsor du projet, Henri Verdier. Celui-ci était nommé « Ambassadeur de France pour le numérique » tandis que Nadi Bou Hanna lui succèdait, à compter du 10 décembre, à la tête de la DINSIC (Direction interministérielle du numérique et du système d’information et de communication de l’Etat).

Concernés par le projet, 150 professionnels se pressaient donc le 20 novembre, pour assister à la conférence organisée par l’Observatoire FIC* sur le thème « Quelles alternatives sécurisées à WhatsApp et Telegram en entreprise ? » La conférence avait le grand mérite de réunir les principales parties prenantes du projet.

 

Les 3 acteurs

 

Intervenants, à la conférence du 20 novembre. Au centre Xavier Bechade, Dinsic. En arrière plan Amandine Le Pape, New Vector, l’éditeur de Matrix

  • La Dinsic, représentée par le responsable du projet, Chef du département « Projets interministériels de mutualisation », Xavier Bechade, mais qui reconnait être dans l’attente, pour les évolutions de 2019, de l’arrivée prochaine du nouveau Directeur (10 décembre) , après le départ d’Henri Verdier;
  • New Vector, la société franco-britannique créatrice de la plateforme open-source Riot, retenue pour le projet de l’Etat, représentée par sa directrice des opérations, Amandine Le Pape ;
  • Thales, qui a lancé et opère Citadel Team, un service de messagerie basé également sur Riot et qui devrait donc être interopérable avec la messagerie de l’Etat, représenté par le directeur des ventes du service Fabrice Dennieau.

La base open source Matrix est en cours d’amélioration

New Vector a encore peu de grands « clients » institutionnels, sa responsable a cité la Dinsic et une université néerlandaise. Amandine Le Pape insiste sur l’interopérabilité et a souligné : « il faut faire comprendre aux utilisateurs que l’ouverture est possible sans nuire à la sécurité ». Une mise à jour importante du protocole open-source Matrix, et de l’application Riot sont prévus « d’ici la fin de l’année », et devrait voir améliorés le l’ergonomie et le design.

New Vector annonce aussi faire le ménage parmi ses utilisateurs en 2019, pour s’attaquer à sa réputation. A venir également une ergonomie améliorée, une identification facilitée par un QR Code ou « un mot de passe récupérable par un autre canal ».

L’arrivée d’un outsider: Watcha

Nous avons d’ailleurs rencontré, en dehors de cette conférence,  les dirigeants de la start-up lyonnaise Watcha, un outsider qui lance également une messagerie chiffrée à destination des entreprises sur la base de Matrix. Ils nous ont confié corriger des bugs de la plateforme (reversés à la communauté) et avoir du repenser les interfaces manquant par trop d’ergonomie.

Expérimentation avec 500 utilisateurs, en serveurs « fermés »

Les informations provenant de la Dinsic étaient bien entendu très attendues. Xavier Bechade,  a expliqué le fonctionnement de son service. Son équipe travaille sur la souche open source et reversera à la communauté les modifications du code.  Pour le moment, l’application est utilisée en cercle fermé, en expérimentation sur 500 utilisateurs, sur terminaux « maîtrisés », notamment au sein des cabinets ministériels.

« Les autorités discutent avec l’extérieur, ça fait partie de la feuille de route ». Le premier gros « client » de l’application devrait être l’armée, très impliquée dans le projet depuis le début et qui semble impatiente. Les contacts avec son ministère seraient fréquents.

Xavier Béchade ne cache pas qu’il y a de nombreux développements en cours et à venir et  annonce en particulier une prochaine « customisation visuelle » de l’application. Outre l’ergonomie, les développements annoncés concernent le contrôle et la gestion de l’identité, et diverses briques : « Nous projetons d’intégrer la brique France Connect » indique Xavier Bechade. Les perspectives sont d’élargir les postes clients : le téléphone, le PC et le client web.

La DINSIC affirme ne pas vouloir concurrencer les éditeurs de logiciels

On sait que le projet est de remplacer les messageries grand public, comme WhatsApp et Telegram, utilisés par défaut Mais à la Dinsic on rappelle que Tchap est conçu pour les administrations centrales, laissant le marché entreprises aux  éditeurs privés comme Tales. L’esprit est à la collaboration, non à la compétition nous indique-t-on.

En effet, des voix se font fait entendre du côté d’éditeurs de logiciels, craignant une forme de concurrence de la part de l’Etat. Diverses entreprises du secteur de la sécurité auraient en effet souhaité être mises en concurrence.

Tales se retrouve en compétition de fait avec l’Etat, Ercom, qui sécurise les téléphones de la présidence de la république et de ministres, entre autres, a lancé CryptoPass, une solution certifiée.Au delà des administrations centrales, une question reste cependant ouverte: l’application de l’Etat sera-t-elle distribuée ou non auprès des nombreuses autres administrations (territoriales, hospitalières etc.)

 Quel budget, quelle diffusion ? 

Solutions-Numeriques a posé la question du budget, à l’occasion de la conférence, à Xavier Béchade. Sans nous en indiquer le coût prévu (de développement et de maintenance), il nous a précisé que le budget était « maîtrisé », et avait vocation à être mutualisé, partagé, avec les ministères utilisateurs. Ce qui est d’ailleurs logique, la Dinsic étant en quelque sorte au service des ministères. Le licensing est en discussion avec l’Armée. Mais les arbitrages stratégiques et budgétaires ont été gelés, dans l’attente de l’arrivée (prochaine) du nouveau « patron » de la Dinsic.

Une fois l’application développée, comment sera –elle exploitée ? Un modèle économique doit être trouvé, indique la Dinsic, précisant que le système, décentralisé, sera hébergé par le SI de chaque ministère

Distribution peut-être courant Janvier?

En arrière-plan de la question, a reconnu le représentant de la Dinsic, il y a la question de la capacité de l’Etat à se doter des moyens nécessaires  pour le developpement et la maintenance du  logiciel sur le moyen terme.

Xavier Béchade ne nous a pas précisé le nombre de jours/homme du projet, mais assure  que la distribution élargie du logiciel est une question semaines. Vraisemblablement courant Janvier?

L’alternative Citadel de Tales,  un an après

Concernant Thales, Fabrice Dennieau a fait le point sur Citadel. En matière de sécurité, la solution offre le chiffrement des données échangées et une infrastructure de confiance opérée par Thales – La future messagerie développée par l’Etat devrait offrir une ergonomie comparable. Un an après le lancement de l’application, « développée en mode agile, ce qui était nouveau chez Tales », toutes offres confondues, y compris l’offre gratuite, elle bénéficie de « plusieurs milliers » d’utilisateurs, au sein notamment de « 14 grands comptes, des clients du Cac 40, de l’écosysteme de Thales, des secteurs de la sécurité, la finance, l’industrie… ».

L’application est utilisée en particulier pour les appels depuis l’étranger, ou sur les conversations critiques comme les sujets de fusion/acquisition. Tales estime en effet que la sécurité est efficace, avec par exemple la possibilité d’échanger avec un cryptage de bout en bout et des mots de passe éphémères, d’assurer le contrôle d’identité et la qualité de service.. Une console d’administration est disponible, permettant de révoquer des comptes ou désabonner un employé automatiquement quand il quitte l’entreprise. Le plus important

Objectif: l’ergonomie d’une solution « grand public »

Mais l’éditeur veut « pousser » les services métiers et l’ergonomie, pour une meilleure pénétration en entreprise et un usage quotidien et élargi à tous. Le défi est d’en faire une utilisation effective, par défaut. Là encore, le déficit d’ergonomie est avoué et du chemin reste à accomplir. Pour que Citadel remplace WhatsApp, « la facilité d’utilisation de la vidéo par exemple est nécessaire », reconnait Fabrice Dennieau.

En dehors de l’ergonomie, le principal objecif est bien entendu l’interopérabilité avec la messagerie développée par la Dinsic. Mais aussi avec les applications du marché comme Office 365.

La conférence du 20 novembre avait l’immense avantage on le voit de mieux comprendre la situation et l’avancement du projet. Par rapport à celui-ci, il semble que l’annonce un peu précipitée du mois d’avril s’explique par une sous-estimation de sa complexité. En particulier, le choix de la solution open source Matrix s’explique par la commodité intrinsèque de personnalisation que permet le logiciel ouvert, mais il semble  la souche de base se révèle éloignée des besoins « grand public » en terme d’ergonomie et de fonctionnalités. Le travail de développement et d’interopérabilité avec Tales notamment restent des défis importants.

 

*L’Observatoire FIC, en parallèle au FIC lui-même (Forum International de la Cybersécurité) l’évènement national sur la cybersécurité qui se déroule annuellement à Lille en Janvier, organise des débats et échanges réguliers. Ils sont animéconjointement par la Gendarmerie nationale, la société CEIS et Euratechnologies, avec le soutien de la Région Hauts-de-France. www.observatoire-fic.com