mehaniq41 - stock.adobe.com

Actualites

Un intrus s'est infiltré dans les salons feutrés de Tchap

Une intrusion sur la plateforme de messagerie du gouvernement, Tchap, expose 643 000 messages. L'incident souligne les risques liés aux salons publics et à la compromission d'identités, mais surtout aux cleptogiciels.

Valéry Rieß-Marchive
par
Publié le: 08 juin 2026

Le 7 juin 2026, l'ANSSI a détecté une intrusion sur Tchap, la plateforme de messagerie instantanée utilisée par les administrations publiques françaises. L'accès initial a été obtenu par une usurpation de compte. La Direction interministérielle du numérique (DINUM) a procédé au blocage immédiat du compte source pour interrompre l'accès persistant.

L'architecture de la plateforme distingue deux types de flux, précise la DINUM : les conversations privées, protégées par un chiffrement de bout en bout, et les salons publics, qui ne bénéficient pas de ce chiffrement par conception. L'impact de l'intrusion est circonscrit aux salons publics. La DINUM précise que les conversations privées des agents demeurent protégées et assure que leur historique n'est pas accessible en cas d'usurpation de compte.

Les données de HudsonRock indiquent que près de 300 comptes utilisateurs de Tchap ont été compromis par des logiciels de type cleptogiciel. Ces outils permettent aux attaquants de capturer des identifiants et des données de session pour assurer une extraction silencieuse de données. Cette stratégie d'attaque privilégie la persistance et la compromission de l'identité de l'utilisateur. L'incident démontre que la sécurisation de l'identité constitue un point de rupture essentiel lorsque les mécanismes de contrôle d'accès aux données stockées sont insuffisants.

Le dernier compte Tchap compromis par un tel infostealer l'a été le 7 juin, selon HudsonRock. Ce n'est pas anodin, car sans déconnexion intentionnelle en fin d'utilisation de la messagerie dans un navigateur Web, des jetons de session peuvent rester actifs suffisamment longtemps pour être détournés par un tiers malveillant. 

Selon les revendications publiées sur un forums fréquenté notamment par des cybercriminels ce 8 juin, une fuite de données a exposé plus de 643 000 messages sur la plateforme, dont une partie contient des informations sensibles liées à l'administration publique. La DINUM a notifié la CNIL concernant la possible compromission de données à caractère personnel partagées dans les espaces non sécurisés.

L'administration rappelle que les modalités d'utilisation de Tchap interdisent l'échange d'informations sensibles ou couvertes par le secret professionnel dans les salons publics.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)