Face à la montée des cyberattaques, le FBI et la CISA recommandent d’arrêter d’envoyer des SMS entre utilisateurs d'iPhone et d'Android. Un conseil qui ne vise pas seulement les Américains mais tous les...
Un coup d’envoi raté. Il n’a suffi que quelques heures à Elliot Alderson, un chercheur en sécurité informatique français, pour pirater Tchap, rapporte Le Parisien. Et ce, dès son premier jour de fonctionnement.
Pourtant, l’application mobile de messagerie instantanée, chiffrée et gratuite, achemine les communications internes des agents des services de l’État. L’outil doit en effet servir aux échanges "d’informations sensibles ou moins sensibles, en mobilité ou depuis un poste de travail bureautique", indique Nadi Bou Hanna, le nouveau directeur de la DINSIC (Direction interministérielle du numérique et du système d’information et de communication de l’État), en charge du développement de la messagerie.
Comment expliquer cette défaillance ?
Une messagerie censée être plus sécurisée que Telegram
Eviter de passer par des solutions étrangères comme WhatsApp ou Telegram et avoir une application plus sécurisée pour les agents des services de l’Etat. Tel était l’objectif du gouvernement. Pour éviter les interceptions des échanges, un chiffrement de bout en bout a d’ailleurs été programmé, assure Nadi Bou Hanna.
Pour la rendre la plus solide possible, Thalès, une entreprise spécialisée dans l’électronique et la défense, ainsi que l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le cyber-garde du corps de l’État, y ont contribuée. Les directeurs des systèmes informatiques des Armées, et du Quai d’Orsay ont aussi été impliqués, note le site spécialisé Numerama.
Ainsi, afin d’éviter tous vols de données et autres piratages, l’hébergement de l’ensemble de l’infrastructure est assuré par des serveurs de l’État.
Pour s’inscrire et accéder à la plateforme, une adresse mail officielle de type "@gouv.fr" ou "@elysee.fr" à son nom est obligatoire. Il est cependant possible de s’inscrire avec un autre mail, via un lien d’invitation envoyé par une personne déjà membre, précise Numerama.
Toutefois, une autre méthode aurait permis d’y accéder…
Un problème de filtrage en cause
Le dispositif a été très rapidement déjoué. Comment ? Elliot Alderson a seulement ajouté à la fin de son adresse mail personnelle la partie "@elysee.fr". C’est alors qu’un message de confirmation lui a été transmis à son adresse personnelle.
"Du fait d’un problème de filtrage sur l’adresse email lors de l’inscription, j’ai réussi à m’inscrire sur l’application en tant qu’employé de l’Elysée sans avoir d’adresse mail officielle. J’ai ainsi eu accès à tous les salons et profils publics", a-t-il précisé à BFM Tech.
Le porte-parole de la DINSIC, tente de tempérer la situation : "Il s’agit d’une phase de démarrage. Le plus important est que l’on ait pu identifier et corriger cette faille au plus vite".