Ajouter un commentaire

Fail : le gouvernement français lance sa messagerie d'Etat sécurisée Tchap... avec une faille de sécurité

Par:
fredericmazue

mar, 23/04/2019 - 16:23

Le gouvernement français a estimé que les services de l'Etat devaient être dotés d'une messagerie instantanée cryptée et que des Telegram et autres Whatsapp ne pouvaient convenir pour des raisons de sécurité. Jusqu'ici tout va bien.

Voilà donc la messagerie d'Etat cryptée Tchap développée, et lancée le 18 avril. Cette messagerie intrigue le chercheur en sécurité Baptiste Robert. Il commence à regarder, et une heure et demi après, il publie un tweet ravageur : n'importe qui peut se connecter à cette messagerie d'Etat cryptée et sécurisée.

Baptiste Robert explique en détail comment il a procédé dans ce billet.

En résumé, il a décompilé l'application Tchap Android, a constaté que c'est un fork de l'application Riot, qu'il est facile de désactiver le certificat de sécurité, et que les serveurs du gouvernement sont clairement identifiés dans le fichier AndroidManifest.xml.

Baptiste choisit de s'en prendre au serveur de l'Elysée. Il lui soumet une adresse mail bidouillée forgée à partir de presidence @ elysee.fr. Le serveur ne fait pas de vérification sérieuse de l'adresse et envoie un mail d'invitation à Baptiste.

Le voilà dans la place...

Dès le lendemain, une porte-parole de la direction interministérielle du numérique et du système d'information et de communication de l'Etat (DINSIC) a indiqué : "Cette faille de sécurité a été identifiée et corrigée" (dès le 18 avril).

Le gouvernement a aussi tenu les propos rassurants d'usage : Baptiste Robert est le seul à avoir exploité la faille et aucune information confidentielle n’a été compromise. Par ailleurs Tchap n’a pas vocation à traiter d’informations très sensibles.

Nous voilà pleinement rassurés :-)

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-)
 Y   Y  III  W     W  N   N  TTTTTT 
Y Y I W W NN N TT
Y I W W W N N N TT
Y I W W W N NN TT
Y III W W N N TT