Tchap, l’application qui doit protéger l’État des pirates informatiques
Tchap, une nouvelle application, similaire à WhatsApp ou Telegram, est disponible sur l’App Store ou Google Play depuis le mois d’avril. Cependant, elle est réservée à ceux qui disposent d’une adresse e-mail gouvernementale. Du moins, en théorie…
Les raisons de la colère
Alors que Facebook est toujours sujet aux critiques et aux suspicions, un an après le scandale de Cambridge Analytica, le gouvernement français a décidé de développer sa propre application de communication. Ainsi, le gouvernement n’aura plus à dépendre, par exemple, de WhatsApp et surtout de serveurs situés à l’étranger hors de leur contrôle et de leur surveillance. Un bon moyen de se protéger des piratages, fuites d’informations et autres propagations d’infox.
C’est donc l’an dernier qu’est testé, pour quelques 500 utilisateurs privilégiés, Tchap. Une application de messagerie qui doit garantir à la France une plateforme d’échanges numériques sécurisée. En plus de se protéger d’une quelconque ingérence étrangère, l’application doit également permettre une meilleure fluidité entre les différents organes du gouvernement, comme l’expliquait en avril 2018 Mounir Mahjoubi, alors qu’il était encore secrétaire d’État chargé du numérique : «Le partage d’informations de manière sécurisée est essentiel à la fois pour les cabinets mais aussi pour avoir un dialogue plus fluide avec les administrations»
Le fonctionnement de l’application est extrêmement simple. Une fois inscrit, l’utilisateur peut créer des salons de discussions publiques ou privés, et inviter d’autres utilisateurs présents au sein de l’annuaire intégré. Ensuite, les messages ou fichiers s’échangent comme sur n’importe quelle autre application type Whatsapp ou WeChat.
Cependant, le but premier de cette application reste de sécuriser les informations sensibles entre différents cabinets du gouvernement, il faut donc en restreindre l’accès. Le premier pare-feu? Il n’est possible de télécharger cette application uniquement si l’on dispose d’une adresse mail gouvernementale valide (par exemple @gouv.fr), ainsi que de proposer du chiffrement de bout en bout. En clair, un système de communication où seules les personnes qui communiquent via l’application peuvent lire les messages échangés.
De plus, en stockant les données échangée sur des serveurs français, la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC) comptait limiter encore plus l’accès aux pirates. Seulement, ces mesures de sécurité vantées par l’Etat français n’auront pas tenu bien longtemps.
Tchap hacké dès le lendemain de sa commercialisation
En effet, un chercheur en sécurité informatique français est parvenu à pirater Tchap avec une facilité déconcertante. Ainsi l’application fut mise en ligne le mercredi 17 avril sur le store Apple et Android, et le jeudi matin, Elliot Alderson (pseudonyme faisant référence à la série Mr. Robot) réussissait, en falsifiant son identité, à gagner l’accès aux salons supposés sécurisés et pouvait également identifier les personnes inscrites. Facile.
Bien heureusement pour le gouvernement, le hacker n’avait visiblement pas de mauvaises intentions puisqu’il a rapidement contacté les services de l’Etat ainsi que les développeurs de l’application. Quelques heures après l’alerte, un correctif informatique était déployé. Le dit Alderson s’était tout de même permis un tweet un brin provocateur: «Je viens de regarder #Tchap la nouvelle appli sécurisée du gouvernement français. Et, put*** c’est horrible».
Des couacs logiques pour application censée protéger et rassurer
Toujours est-il que, au moment de rendre l’application disponible, Tchap n’était visiblement pas tout à fait au point. En substance, rien d’anormal, c’est même assez courant qu’un logiciel ne soit pas complètement paré à toutes possibilités dans le monde interconnecté qui est le nôtre.
Cependant, quand le but même de l’application (ou autre logiciel) est justement de se protéger des fuites de renseignements ou autres cyberattaques, comme il s’en produit chaque jour à travers le monde, il est difficile d’être rassuré.