Tchap : compromission confirmée de la messagerie de l'État

Le week-end des 6 et 7 juin 2026, un cybercriminel (se présentant sous le pseudonyme « misere ») a revendiqué sur le dark web l’accès à Tchap, la messagerie instantanée de l’État français, fondée sur le protocole Matrix et homologuée par l’ANSSI. Le 8 juin 2026, la DINUM a confirmé officiellement un incident de sécurité affectant la plateforme, consécutif à l’usurpation d’un compte utilisateur. Les investigations menées avec l’ANSSI ont permis d’identifier et de bloquer rapidement le compte compromis afin de mettre fin à l’accès de l’attaquant.

Selon la DINUM, le chiffrement de bout en bout (Olm/Megolm) a joué son rôle : le contenu et l’historique des conversations privées chiffrées restent inaccessibles, même en cas d’usurpation de compte. Les éléments potentiellement consultés se limiteraient aux salons publics de Tchap, non chiffrés par conception et accessibles à tout utilisateur authentifié. Une notification a été adressée à la CNIL pour les données à caractère personnel susceptibles d’avoir été exposées dans ces salons publics, et l’analyse des journaux d’événements se poursuit pour déterminer précisément les conversations consultées et la nature des données éventuellement exfiltrées.

L’ampleur, en revanche, reste une revendication non validée. L’auteur affirme avoir collecté les données de 73 467 comptes d’agents, 643 459 messages, 876 salons avec historique, 4 002 espaces de discussion, 59 386 fichiers (13,51 Go) et relevé 90 occurrences de documents portant la mention « Diffusion restreinte », sur une période courant de juin 2023 à juin 2026. Il revendique aussi un mode opératoire mêlant ingénierie sociale (compte d’entrée lié à l’Éducation nationale) et exploitation de faiblesses fonctionnelles : annuaire utilisateur sans limitation de débit, endpoints de téléchargement de fichiers et énumération de comptes. Des échantillons de conversations (souvent informelles), ainsi que des références à des scripts PowerShell, des liens Zoom/Webex et des annuaires LDAP, ont été publiés. Aucun de ces volumes ni de ces détails techniques n’a été confirmé indépendamment.

La portée du cas est notable : Tchap revendique plus de 300 000 utilisateurs, est imposée à de nombreux usages administratifs depuis septembre 2025 et touche des agents de plusieurs ministères (Intérieur, Armées, Justice, Affaires étrangères, Économie et Finances, Éducation nationale). L’incident illustre une faiblesse opérationnelle plutôt qu’une rupture cryptographique : le maillon faible est l’identité d’un compte légitime, et le risque tient au fait que des informations potentiellement sensibles aient pu circuler dans des salons ouverts. Conformément à notre règle de prudence, le chiffre de 73 467 est exclu du compteur cumulé tant que la DINUM n’a pas validé d’estimation. La fiche sera mise à jour à l’issue de l’analyse des journaux et des éventuelles communications complémentaires de la DINUM, de l’ANSSI ou de la CNIL.