Tchap : fuite de données confirmée pour la messagerie sécurisée de l’Etat

Après plusieurs jours de rumeurs, la Direction interministérielle du numérique (DINUM) a admis l’existence d’un incident de sécurité affectant sa messagerie sécurisée Tchap. En cause, un compte compromis, lequel a permis à l’attaquant d’avoir accès aux forums ouverts à l’ensemble des utilisateurs de l’application.

En juillet 2025, François Bayrou, alors premier ministre, signait une circulaire appelant à généraliser Tchap. Cette application lancée en 2019 par la Dinsic, ancêtre de la Dinum, se voulait une alternative à Telegram et WhatsApp, une messagerie sécurisée, chiffrée de bout-en-bout, permettant aux agents de l’Etat d’échanger.

Sécurisée certes, mais à peine lancée la messagerie avait déjà révélé une première faille permettant de contourner les mécanismes d’authentification. Six mois avant la circulaire, la Dinum lançait d’ailleurs un bug bounty avec YesWeHack. Et pourtant, la fuite de données ne vient pas d’une vulnérabilité dans l’architecture de la messagerie ou du protocole Matrix.

Un compte utilisateur compromis

Depuis plusieurs jours, certains forums bruissent de la rumeur d’une fuite de données venant de Tchap. Le site spécialisé French Breaches s’en est fait l’écho, avant que la Dinum ne reconnaisse, par voie de communiqué, l’incident de sécurité. Selon la direction interministérielle, « le 7 juin 2026, l’ANSSI a détecté une compromission du service Tchap de messagerie instantanée chiffrée de l’État, à la suite d’une usurpation de compte ».

L’incident résulterait donc de la compromission d’un compte utilisateur, a priori dans l’environnement de l’Education Nationale. L’administration indique avoir rapidement identifié et neutralisé le compte concerné, tout en lançant des investigations complémentaires afin d’évaluer précisément les données potentiellement consultées. Le tout en notifiant la Cnil.

13,51 Go de données téléchargées

La Dinum ne s’étend pas sur l’ampleur de la compromission, ni sur la nature des données dérobées. Elle précise néanmoins que « les échanges susceptibles d’avoir été consultés se limitent donc au contenu des conversations publiques : des forums qui, par conception, sont ouverts à l’ensemble des utilisateurs de Tchap et dont les messages ne sont pas chiffrés ». 

Auraient ainsi été consultés des contenus présents dans des salons publics ou semi-publics auxquels le titulaire du compte avait légitimement accès. Selon les informations consultées par French Breaches, l’attaquant revendique l’extraction de 643 459 messages et 59 386 fichiers multimédias, soit 13,51 Go de données. Ces volumes n’ont pas été confirmés par la DINUM. L’administration indique en revanche que 73 467 agents seraient concernés par l’incident, sur plus de 825 000 inscrits, et que l’analyse des journaux est toujours en cours pour déterminer les conversations effectivement consultées et la nature des données éventuellement exfiltrées.

Reste que cette nouvelle affaire survient à un bien mauvais moment, à peine quelques semaines après la fuite ANTS/France Titres. Certes, les deux incidents sont très différents, mais leur impact politique est le même : la confiance dans le numérique de l’État s’effrite à chaque fuite, même lorsqu’elle ne relève pas d’une faille systémique. Pour la DINUM comme pour l’ANSSI, déjà sur la sellette, c’est un nouveau coup dur.

À LIRE AUSSI :

Gouvernance

ANSSI : le procès d’une autorité qui accompagne plus qu’elle ne contraint

Thierry Derouet

15 Mai

À LIRE AUSSI :

Gouvernance

DINUM-DITP : fusion stratégique… ou réforme déjà en train de se dégonfler ?

Thierry Derouet

11 Mai

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !