Tchap : 73 000 agents de l'État français touchés par une fuite de données

La DINUM, la direction interministérielle du numérique, a reconnu lundi une faille de sécurité sur Tchap, la messagerie chiffrée réservée aux agents de la fonction publique française. L'incident a été signalé à la CNIL en raison de l'exposition potentielle de données personnelles.

Selon le bilan publié par la DINUM, 73 467 agents seraient concernés sur un total de plus de 825 000 utilisateurs enregistrés, soit moins de 9 % de la base. L'autorité a précisé avoir notifié la CNIL conformément aux obligations réglementaires en vigueur.

Ce qui a été exposé

L'attaquant a accédé à la plateforme en utilisant un compte utilisateur compromis. Les conversations privées, chiffrées de bout en bout, sont restées protégées. En revanche, les salons publics de discussion, non chiffrés par conception, étaient accessibles.

Les données potentiellement volées comprennent les noms et prénoms des agents, leurs adresses email professionnelles, leur photo de profil, ainsi que l'entité du secteur public à laquelle ils appartiennent. Le compte à l'origine des requêtes malveillantes a été identifié et immédiatement bloqué.

Un acteur malveillant a revendiqué l'attaque au cours du week-end précédant l'annonce officielle. Il affirme avoir utilisé une technique d'ingénierie sociale pour obtenir l'accès initial, et dit avoir collecté près de 650 000 messages, des métadonnées de comptes et d'appareils, ainsi que plus de 13,5 Go de documents partagés via le service.

Un outil devenu central pour l'administration

Tchap a été développé à partir de 2018 par la DINUM en collaboration avec l'ANSSI. La plateforme repose sur le protocole Matrix et fonctionne de manière décentralisée.

Depuis début août 2025, Tchap est devenu l'application de communication professionnelle par défaut pour l'ensemble des agents de la fonction publique. La messagerie compte désormais plus de 300 000 utilisateurs actifs par mois et dépasse 500 000 téléchargements sur le Play Store de Google.

Ce déploiement massif et récent amplifie la portée potentielle de l'incident. Plus la base d'utilisateurs est large, plus les données exposées dans les salons publics sont nombreuses et variées.

Un contexte de cybermenaces répétées

Cet incident s'inscrit dans une série d'attaques visant les systèmes d'information publics en France. En mai dernier, les autorités avaient arrêté un mineur de 15 ans soupçonné d'avoir vendu des données volées lors d'une cyberattaque contre l'ANTS, l'agence chargée des titres sécurisés.

La récurrence de ces incidents soulève des questions sur la robustesse des mesures de sécurité entourant les outils numériques de l'administration française, notamment pour les plateformes à fort volume d'utilisateurs internes.

L'enquête est toujours en cours. La DINUM n'a pas encore attribué officiellement l'attaque à un groupe ou à un individu identifié.

Source : Bleeping Computer