Cyberattaque sur Tchap : le parquet de Paris ouvre une enquête pénale
La messagerie Tchap, outil de communication officiel de centaines de milliers d'agents de la fonction publique française, a été victime d'une cyberattaque d'envergure. Face à la gravité des faits, le parquet de Paris a ouvert une enquête pénale, signe que la compromission potentielle de données sensibles de l'État est prise au sérieux au plus haut niveau judiciaire. L'incident relance le débat sur la capacité de la France à protéger ses infrastructures numériques souveraines.
Lancée en 2019 par la Direction interministérielle du numérique (DINUM), Tchap se voulait l'alternative souveraine aux messageries commerciales comme WhatsApp ou Telegram pour les agents de l'État. Basée sur le protocole open source Matrix — le même qui propulse l'application Element — elle est hébergée sur des serveurs situés en France et se targue d'offrir un niveau de sécurité adapté aux échanges professionnels des fonctionnaires. En quelques années, elle a séduit plusieurs centaines de milliers d'utilisateurs au sein des ministères, des préfectures et des différents organismes publics.
La cyberattaque qui vient de la frapper constitue donc un choc symbolique autant que sécuritaire. Si les autorités n'ont pas encore communiqué sur la nature précise de la faille exploitée ni sur l'ampleur des données potentiellement compromises, l'ouverture d'une enquête judiciaire par le parquet de Paris indique que les enquêteurs estiment disposer d'éléments sérieux. Ce type de procédure est généralement déclenché lorsque les premières vérifications techniques confirment une intrusion caractérisée et non un simple incident informatique bénin.
Dans un contexte où les cyberattaques contre les services publics français se multiplient, touchant aussi bien des hôpitaux que des collectivités territoriales, cette intrusion dans la messagerie des agents de l'État représente un cap supplémentaire. Les communications internes des fonctionnaires, potentiellement sensibles voire confidentielles selon les ministères concernés, constituent une cible de choix pour des acteurs malveillants, qu'ils soient animés par des motivations financières ou politiques.
Une application déjà fragilisée par des failles passées
Ce n'est pas la première fois que Tchap se retrouve sous les projecteurs pour des raisons de sécurité. Dès son lancement en avril 2019, le chercheur en cybersécurité Baptiste Robert avait découvert et signalé une vulnérabilité permettant d'accéder aux comptes de n'importe quel utilisateur à partir de son adresse e-mail professionnelle. La faille avait rapidement été colmatée, mais l'incident avait semé le doute sur la maturité du produit. Les équipes de la DINUM avaient depuis lors renforcé les protocoles d'authentification et multiplié les audits de sécurité, notamment en coordination avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
La nouvelle attaque rappelle que la sécurité d'une application — aussi bien intentionnée soit-elle — ne peut jamais être considérée comme définitivement acquise. Les attaquants font preuve d'une créativité et d'une persistance croissantes, exploitant aussi bien des failles techniques dans le code que des vulnérabilités humaines via des techniques de phishing ou d'ingénierie sociale ciblant les administrateurs système. Pour une application comme Tchap, dont les utilisateurs échangent quotidiennement sur des sujets pouvant toucher à l'organisation interne des services de l'État, le niveau d'exigence en matière de sécurité devrait être comparable à celui des systèmes d'information classifiés.
La question du recours à des solutions vraiment souveraines, intégralement maîtrisées sur le plan technique par l'État français, revient avec force. La modernisation numérique des services publics soulève des enjeux croissants en matière de souveraineté et de protection des données, entre promesse d'efficacité et risques réels d'exposition. Tchap, malgré ses efforts de localisation des données en France, repose sur une brique logicielle open source partagée mondialement, ce qui implique que toute vulnérabilité découverte dans le protocole Matrix peut potentiellement affecter l'ensemble des instances déployées, y compris celle de l'État français.
Quelles conséquences pour les agents et l'administration ?
Pour les fonctionnaires utilisateurs de Tchap, cet incident impose une vigilance accrue dans les semaines à venir. Les recommandations habituelles s'appliquent avec une acuité particulière : changer ses identifiants de connexion, activer l'authentification à deux facteurs si ce n'est déjà fait, et signaler tout comportement inhabituel sur son compte à son responsable informatique. La DINUM et l'ANSSI devraient publier dans les prochains jours des recommandations officielles à destination des agents concernés.
Pour l'administration dans son ensemble, l'incident pose la question de la diversification des canaux de communication sécurisés. Faut-il renforcer Tchap en profondeur, ou envisager des solutions alternatives pour les échanges les plus sensibles ? Des outils comme Olvid, messagerie française dont la sécurité a été reconnue par le gouvernement, ont déjà été recommandés par certains membres de l'exécutif pour les communications les plus confidentielles. La coexistence de plusieurs solutions, chacune adaptée à un niveau de sensibilité des échanges, pourrait constituer une réponse plus robuste que la dépendance à un seul outil.
L'enquête du parquet de Paris devrait permettre, dans les prochains mois, d'identifier les responsables de l'attaque et de mieux comprendre les vecteurs utilisés. La cybercriminalité à l'encontre des services publics est passible de lourdes peines en France depuis le renforcement de l'arsenal législatif en la matière. Si des groupes étrangers, étatiques ou para-étatiques, se révèlent être à l'origine de l'intrusion, l'affaire pourrait prendre une dimension diplomatique significative. En attendant, Tchap illustre une fois de plus que la souveraineté numérique ne se décrète pas : elle s'entretient, s'audite et se protège sans relâche.