23 Avril 2019 - dépannage, maintenance, suppression de virus et formation informatique sur Paris

Sécurité : Tchap, la nouvelle messagerie sécurisée de l'État français déjà piratée !

Photo Frédéric Hourdeau

News

le 23/04/2019 à 23h00

Disponible depuis mercredi dernier, la messagerie lancée par l'État pour remplacer WhatsApp et Telegram dans  les communications de ses agents a été mis à l’index par un expert pour une faille de sécurité dès ce 18 avril !


La messagerie privée sécurisée destinée à remplacer les applications grand public (WhatsApp ou Telegram) (1) pour les communications des agents des services de l'État et du gouvernement est déjà l’objet d’un signalement pour faille de sécurité.

Conçue en collaboration avec la start-up franco-britannique New Vector, Tchap est une messagerie sécurisée qui utilise le chiffrement de bout en bout et est hébergée sur des serveurs de l'État. (2)

Elle est accessible aux personnes disposant d’une adresse mail professionnelle en .gouv ou assimilé.

«Tchap permet de discuter par messages à deux et en groupe, et de partager des fichiers comme toute messagerie instantanée, avec un annuaire intégré des agents utilisateurs, une utilisation simultanée sur plusieurs appareils, et un haut niveau de sécurité et de confidentialité [sic…] des échanges privés Visiophonie et téléphonie en plus » précisait-on dans les milieux habilités au moment du lancement .

ð Un chercheur en cybersécurité français apparaissant  sous le pseudonyme d'Elliot Alderson a découvert une brèche dans le contrôle d'accès de l'application.

En modifiant simplement une adresse mail personnelle, l'expert a réussi à contourner le système de sécurité du service pour accéder à son centre de contrôle.

Selon Elliot Alderson,  l'application est « en théorie,  réservée aux employés du gouvernement, soit les personnes possédant une adresse e-mail en gouv.fr ou en elysee.fr ». Il précise : « il y a un problème de filtrage sur l'adresse e-mail lors de l'inscription »

« J’'ai réussi à m'inscrire sur l'application en tant qu'employé de l'Elysée sans avoir d'adresse e-mail officielle. Ainsi, j’ai obtenu l’accès à tous les salons publics, les profils des gens inscrits, etc… ».

Le chercheur a contacté les services de l'État et les développeurs du protocole de communication Matrix sur lequel repose l'application pour leur communiquer le dysfonctionnement.

Un correctif a rapidement été déployé pour colmater la brèche.

Selon les développeurs de Matrix, aucun tiers ne l'a exploitée. Mais ceci est un bien mauvais signal pour une nouvelle messagerie censée protéger les communications de personnes  en fonction dans les services de l'État.

 

(1)  Telegram est une application de messagerie principalement utilisée sur téléphone portable, qui dispose de nombreuses fonctionnalités.

Elle peut servir à la fois à communiquer directement avec une personne, y compris dans des « tchats secrets », chiffrés, ou à participer à des groupes de discussion. Elle permet également de partager facilement des photos et des vidéos.

L’application ressemble à ses concurrents WhatsApp ou Facebook Messenger mais Telegram propose aussi des « chaînes » publiques que les utilisateurs peuvent suivre,

Les chaînes fonctionnent comme une messagerie à sens unique : seule la personne qui l’a créée, ou les personnes à qui il donne l’autorisation de publier des messages (les « administrateurs »)  peuvent écrire des messages et y diffuser photos ou vidéos.

Tout utilisateur peut théoriquement s’abonner à la chaîne, mais pour la trouver, il faut en connaître le nom, et l’application affirme ainsi qu’elle est particulièrement sécurisée et confidentielle.

 

 

(2)            Tchap est accessible aux personnes disposant d'une adresse mail professionnelle habilitée et pourra être ouverte ponctuellement à des personnes extérieures aux services de l'État.

Son nom fait référence au télégraphe optique de Claude Chappe utilisé sous la Révolution jusqu'au milieu du XIXe siècle. Ironie du sort,  le télégraphe Chappe est aussi connu  pour avoir fait l'objet de l'un des tous premiers piratages de l'histoire.


barre-dépannage, installation, maintenance et formation informatique Paris à domicile


Le point sur l’Informatique quantique. Des microcalculateurs quantiques dotés de 50 à 100 qubits pourraient voir le jour d'ici environ cinq ans. - News - publié le 22/04/2019


Où en est-on de son développement ? Combien de temps faut-il encore attendre pour en tirer vraiment parti Dans son Journal, le CNRS propose un rappel sur l'histoire et les évolutions de ces technologies en plein essor.

Sécurité et protection de la vie privée : La reconnaissance faciale bientôt dans tous les aéroports américains. - News - publié le 21/04/2019


Si les grandes entreprises doivent affronter la levée de bouclier contre l’usage par le gouvernement US de ces technologies , cela n’empêche pas la sécurité intérieure de l’utiliser déjà dans 15 aéroports.