La messagerie instantanée Tchap, employée par les agents de la fonction publique, a subi un "incident de sécurité" ayant conduit à une fuite de données, désormais "maîtrisée", selon la Direction interministérielle du numérique (Dinum).
Ce lundi 8 juin, la DINUM a révélé avoir été confrontée à un incident de sécurité concernant la plateforme utilisée par les agents d'État. Cette annonce fait suite à la revendication d'un cybercriminel qui a affirmé avoir piraté plusieurs centaines de milliers de comptes.
Dans un communiqué intitulé Incident de sécurité sur Tchap : la DINUM sécurise la plateforme et informe les usagers après une intrusion maîtrisée, la DINUM a indiqué que la compromission de Tchap a été détectée le 7 juin par l'ANSSI, à la suite d'une usurpation de compte. "Des investigations ont été mises en œuvre par nos équipes pour vérifier cette compromission et identifier son périmètre, tout en instaurant des mesures de protection temporaires", a-t-on précisé, sans divulguer le nombre de comptes affectés.
Le même jour, un cybercriminel a publié un post sur un forum clandestin où il revendiquait l'accès à la messagerie. Selon plusieurs spécialistes en cybersécurité, il affirme avoir obtenu des informations concernant 73 000 agents de l'État, 643 000 messages, et un historique de presque trois ans d'échanges internes allant de juin 2023 à juin 2026.
Les autorités assurent que seuls les messages publics ont pu être consultés
D'après la DINUM, l'attaquant n'aurait eu accès qu'à des salons publics, accessibles à tous les utilisateurs de la plateforme et dépourvus de chiffrement. "Les échanges actuellement en question se limitent donc aux conversations publiques qui sont ouvertes à tous les utilisateurs de Tchap", a ajouté la DINUM. Les communications privées des agents restent protégées.
Le compte responsable de l'intrusion a été rapidement identifié et bloqué. L'incident a été signalé à la CNIL, et des investigations se poursuivent pour établir la nature des données exfiltrées et les conversations auxquelles l'attaquant a pu accéder.
La DINUM a également profité de cette occasion pour rappeler aux agents d'État les bonnes pratiques à suivre, en veillant à ce qu'aucune information personnelle ou sensible ne soit échangée sur Tchap, ces discussions devant être réservées aux salons privés.
Dans son message, le pirate prétend que son butin comprend 13,51 gigaoctets de données et près de 60 000 fichiers multimédias. Cela inclurait des identifiants d’utilisateur, des pseudonymes, des adresses de messagerie professionnelles, des historiques de discussions, ainsi que des documents et images partagés.
Tchap généralisée dans l'administration française en juillet 2025
Lancée en 2018, la messagerie Tchap vise à sécuriser les échanges sensibles de l'administration française face aux cyberattaques et aux ingérences étrangères qui pourraient découler de l'utilisation d'applications grand public telles que WhatsApp.
Dirigée par la DINUM et hébergée sur des serveurs locaux, elle promet "une confidentialité totale des échanges professionnels", avec des canaux protégés par le chiffrement. L'utilisation de Tchap sera généralisée dans les ministères par une circulaire du Premier ministre prévue pour juillet 2025. Plus de 300 000 agents publics, y compris ceux des ministères de l'Intérieur et de la Justice, l'utilisent actuellement.
