Quelques heures après son lancement, la nouvelle application de messagerie privée du gouvernement Tchap a déjà des failles de sécurité.
La nouvelle application de messagerie privée du gouvernement Tchap affiche déjà des failles de sécurité. Quelques heures après son lancement sur Google Play et l’App Store d’Apple, un chercheur en sécurité informatique a réussi à accéder à cette plateforme censée être réservée à l’Etat.
Alors que l’application de messagerie sécurisée est censée remplacer Telegram et WhatsApp dans les ministères et les administrations en France, un chercheur en sécurité informatique a réussi à infiltrer l’application mobile.
Normalement, pour s’inscrire et utiliser la plateforme chiffrée développée par la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC), une adresse mail de type @gouv.fr ou @elysee.fr est nécessaire. Mais une faille de sécurité a parmi au chercheur d’y accéder sans avoir d’adresse mail conforme. Pour cela, il a simplement ajouté @[email protected] à son adresse personnelle.
Un message de confirmation lui a alors été envoyé. « Du fait d’un problème de filtrage sur l’adresse email lors de l’inscription, j’ai réussi à m’inscrire sur l’application en tant qu’employé de l’Elysée sans avoir d’adresse mail officielle. J’ai ainsi eu accès à tous les salons et profils publics », a-t-il indiqué à BFM Tech.
« Il s’agit d’une phase de démarrage. Le plus important est que l’on ait pu identifier et corriger cette faille au plus vite », a tenu à rassurer une porte-parole de la direction interministérielle du numérique et du système d’information et de communication de l’Etat.
D’après les responsables de l’application, la bonne nouvelle est que personne d’autre n’aurait utilisé cette faille entretemps. Mais pour un lancement, souffrir d’une grosse faille de sécurité fait tâche.
Pour le moment, Tchap permet d’envoyer du texte, des photos, des fichiers, des liens et des vidéos. Les utilisateurs peuvent discuter avec une seule personne ou plusieurs, comme sur Messenger, Telegram, Signal et autres. Cependant, l’application ne dispose pas encore de fonctions pour effectuer appels audio ou vidéo.