La messagerie gouvernementale Tchap, utilisée quotidiennement par les administrations françaises, fait l’objet d’une importante revendication de fuite de données. Un individu affirme avoir obtenu un accès à la plateforme après la compromission d’un compte utilisateur lié à l’Éducation nationale, lui permettant de consulter et d’extraire des données provenant de nombreux espaces collaboratifs.
Face à ces affirmations, la Direction interministérielle du numérique (DINUM) a confirmé l’existence d’un incident de sécurité et indique travailler en collaboration avec l’ANSSI afin d’en déterminer précisément l’impact.
Un compte compromis à l’origine de l’incident
Selon les premiers éléments communiqués par la DINUM, l’attaque résulterait de l’usurpation d’un compte utilisateur légitime. Une fois l’accès détecté, le compte concerné a été rapidement bloqué afin de mettre fin à l’activité malveillante.
Les autorités précisent que les conversations privées protégées par le chiffrement de bout en bout ne seraient pas concernées. L’incident toucherait principalement des salons publics ou collaboratifs dont le contenu est accessible aux utilisateurs autorisés de la plateforme.
Des volumes de données particulièrement importants
La revendication publiée sur le dark web évoque un volume conséquent de données récupérées sur plusieurs années d’activité de la plateforme.
- 73 467 agents de l’État référencés ;
- 643 459 messages extraits ;
- 876 salons contenant un historique consultable ;
- 4 002 espaces collaboratifs identifiés ;
- 59 386 fichiers et médias récupérés ;
- 13,51 Go de données téléchargées ;
- 90 références portant la mention « Diffusion Restreinte ».
Les horodatages visibles dans les échantillons publiés suggèrent que les données revendiquées couvriraient une période allant de 2023 à 2026, soit près de trois années d’activité sur la plateforme.
Quelles informations auraient été consultées ?
D’après les éléments diffusés par l’auteur de la revendication, les données potentiellement accessibles dépasseraient largement de simples annuaires utilisateurs.
- Noms et pseudonymes des utilisateurs ;
- Adresses e-mail professionnelles gouvernementales ;
- Organismes et ministères de rattachement ;
- Messages échangés dans certains salons ;
- Listes de participants ;
- Historiques de conversations ;
- Fichiers partagés ;
- Images et contenus multimédias ;
- Métadonnées associées aux comptes ;
- Informations relatives aux équipements enregistrés ;
- Liens de visioconférences Zoom et Webex ;
- Références à des ressources internes.
Par mesure de sécurité, aucun élément d’identification ni aucun extrait de conversation n’est reproduit dans cet article.
Près de 60 000 fichiers revendiqués
L’un des aspects les plus préoccupants de cette affaire concerne les documents qui auraient été récupérés via les espaces collaboratifs de Tchap.
Selon la publication, plus de 59 000 fichiers représentant environ 13,5 Go de données auraient été téléchargés.
- Documents PDF ;
- Présentations ;
- Feuilles de calcul ;
- Documents bureautiques ;
- Captures d’écran ;
- Images ;
- Scripts PowerShell ;
- Pièces jointes échangées dans les discussions ;
- Documents administratifs divers.
À ce stade, la nature exacte de ces fichiers et leur niveau réel de sensibilité n’ont pas été confirmés de manière indépendante.
Plusieurs ministères potentiellement concernés
Tchap est aujourd’hui utilisée par une grande partie de l’administration française. Les données revendiquées concerneraient notamment des agents appartenant à plusieurs ministères et organismes publics.
- Ministère de l’Intérieur ;
- Ministère des Armées ;
- Ministère de la Justice ;
- Ministère de l’Économie et des Finances ;
- Ministère de l’Éducation nationale ;
- Divers organismes publics et administrations.
La présence de salons interministériels pourrait expliquer pourquoi les données revendiquées semblent couvrir plusieurs administrations distinctes.
La DINUM se veut rassurante
Dans sa communication, la DINUM insiste sur le fait que les conversations privées protégées par le chiffrement de bout en bout ne seraient pas concernées par l’incident.
Les équipes poursuivent actuellement l’analyse des journaux d’événements afin d’identifier précisément les espaces consultés, les éventuelles données exfiltrées et les mesures correctives à mettre en œuvre. Une notification a également été transmise à la CNIL concernant les données personnelles susceptibles d’avoir été exposées.
Une affaire encore en cours d’analyse
Si l’incident est désormais confirmé par les autorités, plusieurs affirmations contenues dans la revendication restent à vérifier. Les volumes exacts de données consultées, les éventuelles exfiltrations et la sensibilité réelle des documents concernés font encore l’objet d’investigations.
Cette affaire rappelle néanmoins qu’une simple compromission de compte utilisateur peut parfois offrir un accès important à des espaces collaboratifs contenant plusieurs années d’échanges professionnels au sein de l’administration.