Calipia : le blog

Tchap (c’est son nom) est l’application de messagerie instantanée cryptée de bout en bout, développée par la DINSIC (la Direction Interministérielle du Numérique et du Système d’Information et de Communication de l’État). Elle est disponible sur les stores d’Apple et de Google depuis jeudi 18 avril, et vise bien entendu à remplacer les WhatsApp, Télégram et autre Signal dans les échanges entre les agents de l’état, auxquels elle est réservée.

Tchap a été développée sur la plateforme Open Source Riot, créée par la société franco-britannique New Vector (comme quoi même à l’heure du Brexit, il est toujours possible de travailler avec des anglais :)), autour du protocole de communication Matrix (lui aussi Open Source) et la DINSIC a mis à disposition le code source de Tchap sur GitHub pour permettre à d’autres organisations de construire leur propre solution sur ces bases.

Mais l’enfer est pavé de bonnes intentions, puisqu’à peine ouvert, un spécialiste de sécurité, Baptiste Robert, a identifié une faille permettant à n’importe qui de se créer un compte Tchap et de s’immiscer dans des espaces normalement sécurisés. Pour cela il suffisait de modifier son email en ajoutant en fin de celui-ci le nom d’un domaine de l’administration, tel que par ex patrick.barriere@calipia.com@presidence@elysee.fr.

La faille a été comblée dans la journée, mais bon çà fait quand même mauvaise effet, surtout quand on a pour maman la DINSIC et pour marraine l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)….