Question de M. BAZIN Arnaud (Val-d'Oise - Les Républicains) publiée le 25/04/2019
M. Arnaud Bazin attire l'attention de M. le secrétaire d'État auprès du ministre de l'économie et des finances et du ministre de l'action et des comptes publics, chargé du numérique, sur le lancement de tchap, l'application de messagerie sécurisée censée remplacer telegram et whatsapp dans les ministères et les administrations en France.
Quelques heures après son lancement, un chercheur en sécurité informatique a réussi à accéder à cette plateforme censée être réservée à l'État.
Bien qu'il s'agisse d'une phase de démarrage, cette faille de sécurité peut s'avérer déconcertante, malgré les propos rassurants de la direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC).
Si cet outil vise à plus stocker des informations sensibles sur des serveurs étrangers afin d'éviter les vols de données et autres piratages, et permettre des groupes de discussions privées et publiques, il lui demande quelles mesures il entend prendre pour assurer une sécurité absolue.
- page 2217
Réponse du Secrétariat d'État auprès du ministre de l'économie et des finances et du ministre de l'action et des comptes publics, chargé du numérique publiée le 18/07/2019
Lancé en avril 2019, Tchap est la messagerie instantanée des agents de l'État. Développée au sein de l'administration et destinée aux agents de l'État, elle vise à offrir une alternative sécurisée aux applications grand public telles WhatsApp. Engagé début 2018 et nommé en hommage au télégraphe Chappe, le projet a été piloté par la Direction interministérielle du système d'information et de communication de l'État (DINSIC) avec la contribution de l'Agence nationale de sécurité des systèmes d'information (ANSSI), du ministère des Affaires étrangères et du ministère des Armées. Au cours d'une phase d'expérimentation de plusieurs mois, plusieurs milliers d'agents publics ont pu la tester et partager leurs retours d'expérience pour permettre d'améliorer le produit. Tchap s'appuie sur un logiciel open source (Riot) adapté aux besoins de l'État, qui bénéficie de nombreuses contributions et implémente un standard ouvert (Matrix). Le 18 avril 2019, un informaticien connu sur les réseaux sociaux sous le pseudonyme « Elliot Alderson », signale via Twitter avoir détecté une faille sur Tchap. Dès le signalement, l'équipe en charge de Tchap a pris contact avec lui et a aussitôt désactivé la fonctionnalité de création de compte touchée par cette faille. En quelques heures, la faille a été corrigée et la fonctionnalité rétablie. La faille en question provenait d'un module open source Python utilisé par Tchap et servant au filtrage des adresses mails dans la création de compte (l'application étant réservée aux agents de l'État avec une adresse professionnelle). La DINSIC, qui opère le service, précise que l'usager sous le pseudonyme « Elliot Alderson » est le seul à avoir exploité cette faille. Le compte « Elliot Alderson » a depuis été supprimé. Il a uniquement eu accès aux salons publics visibles par tous les utilisateurs de la messagerie (par opposition aux salons privés, fermés et accessibles sur invitation). Il n'a eu accès à aucune information confidentielle, ni aux coordonnées des agents, les conversations privées sur Tchap étant chiffrées de bout en bout. Ainsi, même en cas de compromission ultime d'un attaquant prenant le contrôle des serveurs, le contenu des conversations privées n'aurait pas été lisible. Étant entendu que la sécurité absolue n'est jamais atteignable, la sécurité de Tchap doit être adaptée aux enjeux et objectifs de protection des données. À ce titre, la DINSIC rappelle que Tchap n'a pas vocation à traiter d'informations hautement sensibles : il s'agit d'une messagerie instantanée permettant aux agents de l'État d'échanger en temps réel sur les problématiques professionnelles du quotidien, en garantissant que les conversations restent hébergées sur le territoire national. Les mesures de sécurité mises en uvre sont proportionnées à cet enjeu et ne doivent pas non plus nuire démesurément à l'ergonomie du produit pour les agents publics, ni à la nécessaire ouverture du produit à des échanges sur Internet avec des partenaires externes à l'administration. Outre le chiffrement de bout en bout, un plan d'amélioration de la sécurité, élaboré avec les acteurs SI des ministères, est en cours de mise en uvre pour une réduction progressive des risques résiduels et des audits réguliers sera mis en uvre. La version actuelle de Tchap est une version bêta qui s'améliore en continu. Ainsi, la DINSIC se tient à l'écoute des experts de la société civile et prendra en compte tout retour qu'ils lui remonteraient en vue d'améliorer l'application, comme ce fut le cas pour cette faille d'impact mineur et corrigée en quelques heures. Pour aller plus loin, la DINSIC lancera prochainement un bug bounty et permettra à des personnes de recevoir reconnaissance et compensation pour tout report de bug sur la plateforme. Les modalités précises seront publiées prochainement.
- page 3896
Page mise à jour le