Un lanceur d’alertes a voulu tester la sécurité de l’application lancée par l’État français, et il a réussi à s’introduire dans la messagerie cryptée en un peu plus d’une heure…


au sommaire


    On ne sait pas si c'est lié à l'affaire Benalla, mais l'État français a décidé de ne plus utiliser Telegram et Whatsapp pour ses communications cryptées, que ce soit à l'intérieur du gouvernement mais aussi pour les hauts fonctionnaires. À la place, l'État a carrément lancé sa propre applicationapplication de messageriemessagerie sécurisée : Tchap. Disponible sur AndroidAndroid et iOSiOS depuis jeudi, elle nécessite de posséder une adresse email utilisée par le gouvernement et certaines administrations françaises pour être installée et utilisée. Ce qui signifie donc que le grand public ne peut pas l'installer...

    Sauf que forcément, ça a donné des idées à des experts en sécurité, et notamment au célèbre Elliot Alderson aka Baptiste Robert. LanceurLanceur d'alertes, ce spécialiste en hacking a immédiatement voulu tester la sécurité de cette application, et il a trouvé une faille dès le premier jour, qu'il détaille sur Medium.

    Une adresse existante à l'Élysée a suffi...

    Cela ne lui a pris qu'une heure quinze pour faire tomber la sécurité de l'application, et se retrouver inscrit et parcourir les différents groupes déjà créés. Au passage, il s'amuse d'ailleurs qu'un collaborateur du ministère de l'AgricultureAgriculture ait ouvert un groupe de discussion sur les « choses en jaune ». Plus sérieusement, notre « hacker » a réussi à s'inscrire en détournant une adresse avec elysee.fr comme domaine, et il y est parvenu en identifiant les serveurs utilisés par l'application. Il n'y avait tout simplement pas de filtre sur les identifiants, il suffisait de connaître une adresse email existante, en l'occurrence [email protected] pour décrocher l'invitation nécessaire à l'installation.

    Après vingt minutes à parcourir l'application, il a prévenu les responsables de l'application pour leur faire part de sa découverte, et à 14 h 00, la faille était comblée comme l'explique ce message posté par Matrix.