Un hacker pénètre dans la nouvelle application de messagerie sécurisée du gouvernement français

Un hacker de chapeau blanc a découvert un moyen d’avoir accès à l’application de messagerie cryptée sécurisée récemment lancée par le gouvernement français, à laquelle seuls les fonctionnaires et les politiciens détenant un compte e-mail associé aux identités gouvernementales peuvent avoir accès autrement.

Baptisée «Tchap», cette application de messagerie de bout en bout, cryptée et open source, a été créée par le gouvernement français avec pour objectif de garder les données de leurs fonctionnaires, parlementaires et ministres sur les serveurs du pays, par crainte que les agences étrangères ne se servent de services tiers afin d’espionner leurs communications.

L’application Tchap est conçue grâce au client Riot, une application de messagerie instantanée open source qui met en œuvre le protocole Matrix auto-hébergable pour des échanges sécurisés de bout en bout.

Oui, c’est le même «Riot and Matrix» qui a fait la une de l’actualité en début de semaine après l’entrée par effraction d’un hacker dans ses serveurs et qui a réussi à voler des messages privés non cryptés, des informations de hash, des clés GPG, et les token d’accès utilisés pour signer les paquets du projet par les responsables de projets.

La cyber attaque contre Matrix fut si sérieuse qu’elle a fini par contraindre ses responsables à fermer toute l’infrastructure de production du service pendant plusieurs heures et à déconnecter tous les utilisateurs de Matrix.org.

Même si l’application Tchap est accessible sur Google Play Store et peut être téléchargée par tout un chacun, les utilisateurs qui ont un compte de messagerie électronique émis par le gouvernement, par exemple @gouv.fr ou @elysee.fr, sont les seuls qui peuvent s’y inscrire et accéder.

Toutefois, Robert Baptiste, un chercheur français en matière de sécurité, plus connu sous son nom d’utilisateur Twitter Elliot Alderson, a trouvé une faille de sécurité pouvant permettre à n’importe qui de créer un compte avec l’application Tchap et accéder aux groupes et canaux sans exiger une adresse e-mail officielle.

Dans un article de blog paru ce jour, Robert a montré comment il a pu créer un compte avec le service avec l’utilisation d’un identifiant email régulier en tirant parti d’un bug potentiel dans la validation des emails de l’application Android de Tchap.

«J’ai modifié le courriel à fs0c131y@protonmail.com@presidence@elysee.fr. Bingo ! J’ai reçu un mail de Tchap, j’ai pu valider mon compte !» Robert dit.

«Je suis un employé de l’Elysée et j’avais accès aux salles publiques.»

Robert a fait part de ses observations à l’équipe de Matrix, qui a publié sans tarder une correction du problème, qui, de son point de vue, était réservée uniquement au déploiement de la matrice DINSIC.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *