France : le lancement de l’application Tchap entaché par un bug

Tchap est une application Android lancée par le gouvernement français le 17 avril dernier pour remplacer WhatsApp et Telegram chez ses employés. L’outil verse dans l’échange et la communication, en offrant des canaux de messagerie privés auxquels seules les personnes avec une adresse électronique gouvernementale peuvent accéder.

Tchap est basée sur l’application de chat Riot.com du projet open source Matrix.

L’application n’est certes pas un système de communication classifié, mais elle permet de garder les informations sur le territoire national en évitant l’utilisation de serveurs étrangers. Les collaborateurs du gouvernement peuvent ainsi échanger des informations en temps réel sur les affaires officielles de l’État.

Baptiste Robert, un chercheur français en sécurité, a pourtant pu utiliser Tchap et visionner les canaux de discussion publics sans pour autant être un fonctionnaire de l’État.

Comment la brèche a été découverte ?

Baptiste Robert a utilisé l’outil de proxy Frida pour envoyer une demande d’ouverture de compte auprès de l’application Tchap. Cet outil a ainsi trompé le code Matrix utilisé par les serveurs du gouvernement en créant en quelque sorte une adresse fictive similaire à celles utilisées par les employés de l’Élysée.

Deux heures seulement après avoir téléchargé l’application, Robert a pu ainsi disposer d’un compte validé, le système l’identifiant comme un salarié de la Présidence. Il a donc eu accès entre autres aux informations relatives aux profils des employés de plusieurs ministères.

La réponse de la DINSIC

Baptiste Robert n’a pas tardé à contacter l’Élysée, qui a à son tour notifié la DINSIC ou la Direction interministérielle du Numérique et du Système d’Information et de Communication de l’État français sur le bug.

Cet organisme est responsable du déploiement de Tchap. En une heure, l’ouverture de comptes a ainsi été suspendue. Trois heures plus tard, le service était à nouveau opérationnel.

L’équipe de sécurité de Matrix a aussi été prévenue par Robert et le réseau a été éteint pour que les développeurs puissent retravailler le code. Selon la DINSIC, l’application est encore dans sa version bêta et elle invite ainsi les chercheurs en sécurité à tester l’application afin de renforcer sa sécurité.

Ainsi, le test continue pour l’application Tchap avant qu’elle ne soit totalement opérationnelle. Ce qui intrigue c’est le fait qu’il n’y ait pas eu plus de tests préalables avant la sortie de la version bêta pour un système qui exige un haut niveau de sécurité.