- 01m40s
2 min de lecture
Tchap, la messagerie souveraine de l'administration française, piratée : les autorités évoquent "une intrusion maîtrisée"
La messagerie instantanée Tchap, utilisée par les agents de la fonction publique, a été touchée par un "incident de sécurité" ayant entraîné une fuite de données, désormais "maîtrisée", a indiqué lundi la Direction interministérielle du numérique (Dinum).
La messagerie chiffrée Tchap
Crédit : Dinum
Je m'abonne à la newsletter « Infos »
Alerte sur Tchap, la messagerie ultra-sécurisée de l'administration française. La Direction interministérielle du numérique (DINUM) a reconnu, ce lundi 8 juin, avoir été confrontée à un incident de sécurité affectant la plateforme utilisée par les agents de la fonction publique. Cette confirmation intervient quelques heures après qu'un cybercriminel a revendiqué le piratage de plusieurs centaines de milliers de comptes.
Dans un billet intitulé "Incident de sécurité sur Tchap : la DINUM sécurise la plateforme et informe les usagers après une intrusion maîtrisée", la DINUM explique qu'une compromission du service Tchap a été détecté le 7 juin par l'Anssi à la suite d'une usurpation de compte.
"Des investigations ont immédiatement été menées par les équipes spécialisées de la DINUM pour confirmer cette compromission et en définir le périmètre ainsi que mettre en place les mesures immédiates de protection à titre provisoire", écrit l'administration française, sans préciser combien de comptes ont pu être compromis.
Le même jour, un cybercriminel a publié un message sur un forum clandestin dans lequel il revendique l'accès à la messagerie. D'après plusieurs experts en cybersécurité, il affirme avoir obtenu des données concernant 73.000 agents de l'État, 643.000 messages, 876 salons dont l'historique serait accessible, ainsi que près de trois années d'échanges internes couvrant la période allant de juin 2023 à juin 2026.
Les autorités assurent que seuls les messages publics ont pu être consultés
Selon la DINUM, l'attaquant n'aurait toutefois eu accès qu'à des salons publics, accessibles à l'ensemble des utilisateurs par conception et dépourvus de chiffrement.
"Les échanges susceptibles d'avoir été consultés se limitent donc au contenu des conversations publiques : des forums qui, par conception, sont ouverts à l'ensemble des utilisateurs de Tchap et dont les messages ne sont pas chiffrés. Les conversations privées des agents demeurent protégées", écrit la DINUM.
Le compte à l'origine de l'intrusion a depuis été identifié puis bloqué. L'incident a également été signalé à la CNIL. Les investigations se poursuivent afin d'"identifier les conversations auxquelles l'attaquant a pu accéder et la nature des données exfiltrées".
La direction interministérielle du numérique en profite pour rappeler aux agents de l'État les bonnes pratiques : "Conformément aux modalités d'utilisation de Tchap, aucune information personnelle, sensible ou couverte par le secret professionnel ne doit y être échangée : ces échanges doivent être réservés aux salons privés".
Dans son message de revendication, le pirate affirmait avoir mis la main sur 13,51 gigaoctets de données et près de 60.000 fichiers multimédias. Le butin comprendrait notamment des identifiants d’utilisateurs, des pseudonymes, des adresses de messagerie professionnelles gouvernementales, des historiques de conversations, des listes de participants, des documents partagés ainsi que des images.
Tchap généralisée dans l'administration française en juillet 2025
Lancée en 2018, la messagerie Tchap a été conçue pour sécuriser les échanges sensibles de l’administration française face aux cyberattaques et aux risques d’ingérence étrangère qui découlent de l'usage d'applications grand public comme WhatsApp ou Telegram.
Pilotée par la DINUM et hébergée sur des serveurs français via le cloud du ministère de l'Intérieur, elle promet de "garantir la confidentialité totale des échanges professionnels", via des canaux de discussion protégés par le chiffrement, et d'offrir "une sécurité optimale et une maîtrise publique de son fonctionnement", selon les autorités françaises.
Son utilisation a été généralisée dans les ministères par une circulaire du Premier ministre publiée en juillet 2025.La plateforme est aujourd’hui utilisée par près de 300.000 agents publics, notamment au sein des ministères de l’Intérieur et de la Justice, ainsi que dans de nombreuses autres administrations.
- EN DIRECT - Apple veut propulser Siri dans l'ère de l'intelligence artificielle avec iOS 27... Suivez les annonces de la keynote WWDC 26 à partir de 19h
- Siri enfin dopé à l'intelligence artificielle, les nouvelles fonctions d'iOS 27 qui vont changer l'iPhone... Que nous réserve Apple pour sa keynote WWDC 26 ce lundi à 19h ?
- Un hacker revendique le piratage du Dossier médical partagé : l’Assurance maladie exclut "toute extraction massive de données" et va saisir la justice
- Comment les lunettes connectées sont détournées pour filmer des femmes à leur insu
- Pierre et Vacances, Gîtes de France, Belambra... Les fuites de données dans le secteur du tourisme vont-elles gâcher votre été ?
Ne laissez pas Google décider de vos sources.
Ajouter RTL comme source préférée
