La messagerie privée sécurisée Tchap, réservée aux services de l’Etat français, avait un bug qui permettait à des intrus d’y pénétrer, et qui a été corrigé, selon l’administration et le chercheur en cybersécurité qui a trouvé la faille.
C’est mardi 16 avril que l’Etat a commencé à déployer sa messagerie privée sécurisée, Tchap, destinée à remplacer Whatsapp ou Telegram pour les communications des agents des services de l’Etat ou du gouvernement. Le projet a été piloté par la direction interministérielle du système d’information et de communication de l’État (DINSIC) avec la contribution de l’agence nationale de sécurité des systèmes d’information (ANSSI), du ministère des Affaires étrangères et du ministère des Armées.
Un bug détecté deux jours après le lancement
Jeudi matin, un chercheur en cybersécurité, Baptiste Robert, connu sur Twitter sous le pseudo d’Elliot Alderson, a trouvé en une heure un moyen de se connecter sur la messagerie, sans avoir l’adresse professionnelle en .gouv en théorie nécessaire pour accéder au service. Il a prévenu les services de l’Etat, et la faille a été corrigée en début
d’après-midi par Matrix, la fondation qui gère l’application de messagerie dont Tchap est un dérivé. « Dès signalement, l’équipe en charge de Tchap a pris contact avec lui et a aussitôt désactivé la fonctionnalité de création de compte touchée par cette faille. En quelque heures, la faille a été corrigée et la fonctionnalité rétablie« , explique la DINSIC. La faille en question provenait d’un module open source Python utilisé par Tchap et servant au filtrage des adresses mails dans la création de compte (l’application étant réservée aux agents de l’État avec une adresse professionnelle). En exploitant cette faille, Elliot Alderson a pu se créer un compte et rentrer dans l’application.
La DINSIC, qui opère le service, précise que Elliot Alderson est le seul à avoir exploité cette faille. Il a uniquement eu accès aux salons publics visibles par tous les utilisateurs de la messagerie (par opposition aux salons privés, fermés et accessibles sur invitation). Il n’a eu accès à aucune information confidentielle, ni aux coordonnées des agents./ Enfin, elle indique que le compte d’Elliot Alderson a été supprimé.
La DINSIC rappelle que « Tchap n’a pas vocation à traiter d’informations très sensibles : il s’agit d’une messagerie instantanée permettant aux agents de l’État d’échanger en temps réel sur les problématiques professionnelles du quotidien, en garantissant que les conversations restent hébergées sur le territoire national. »
Une chasse aux failles organisée
La DINSIC a tenu à préciser ce vendredi 19 avril que « la version bêta fera l’objet d’une amélioration continue, tant en termes d’ergonomie que de sécurité« . Ainsi, ajoute-t-elle « la DINSIC se tient à l’écoute des experts de la société civile, et prendra en compte tout retour qu’ils lui remonteraient en vue d’améliorer l’application, comme ce fut le cas pour une faille – d’impact mineur – détectée le 18 avril et corrigée en quelques heures« .
Pour aller plus loin, la DINSIC annonce d’ailleurs lancé prochainement un « bug bounty ».
Interrogé par l’AFP, Nadi Bou Hanna a dit « assumer » qu’un bug puisse être découvert après le lancement de l’application. « Soit vous attendez d’avoir un produit fini parfait, soit vous prenez le risque de lancer le produit » plus vite, en sachant qu’il y aura des « bugs de
jeunesse« , a-t-il expliqué. « On en rencontrera certainement d’autres », a-t-il ajouté. « Nous sommes reconnaissants » à Baptiste Robert d’avoir décelé la faille « et nous l’avons remercié« , a-t-il dit.
Auteur : La Rédaction avec AFP
