Le remplacement du gouvernement français WhatsApp "sécurisé" piraté en seulement 90 minutes

Partager sur Facebook

Partager sur Twitter

Partager sur linkedin

Le gouvernement français a développé une application de messagerie instantanée appelée Tchap afin de sécuriser les conversations de ses employés. Tchap a été présenté mercredi comme une "alternative sécurisée aux applications grand public telles que WhatsApp ou Telegram". Cependant, moins de deux heures plus tard, les choses ne semblaient pas aussi sûres qu'il fallait le dire.

Dirigé par la Direction interministérielle du système d'information et de communication (DINSIC) avec la contribution de l'Agence nationale de la cybersécurité (ANSSI), du ministère des Affaires étrangères et du ministère des Forces armées, le projet Tchap promettait un cryptage intégral pour les messages stockés sur des serveurs français avec un accès strictement réservé aux fonctionnaires. Pourtant, à peine 90 minutes après sa publication, le chercheur en sécurité française Baptiste Robert avait creusé un grand trou dans l'application supposément super sécurisée.

Robert a décidé de jeter un coup d'œil sur Tchap, mais a découvert qu'il vous fallait une adresse e-mail officielle du gouvernement français se terminant par @ gouv.fr ou @ elysee.fr pour pouvoir créer un compte. Dans une publication de Medium sous son pseudonyme d'Elliot Alderson, Robert décrit comment il a ensuite effectué une analyse dynamique du code source libre derrière Tchap. En modifiant la requête requestToken requise pour valider la création du compte, Robert a changé son email en fs0c131y @ protonmail.com @ presidence @ elysee.fr et, dans ses propres mots "Bingo! J'ai reçu un email de Tchap, j'ai pu valider mon compte. ! " Cela a permis au chercheur en sécurité de se connecter à Tchap en tant qu'employé d'Elysée et d'accéder aux conversations dans différentes "salles" au sein de l'application supposément sécurisée.

Ce qui est inquiétant, c’est la rapidité avec laquelle Robert a pu accomplir tout cela. Il a commencé à analyser l'application à 9h00 et avait créé son compte. Il était arrivé à 10h15. Une heure plus tard, Robert avait révélé les détails de la vulnérabilité aux développeurs du protocole de messagerie basé sur Tchap. Les développeurs de ce protocole Matrix déployé un correctif à 14 heures Tchap lui-même est un "fork" d'un projet open source appelé Riot basé sur ce protocole Matrix.

J'ai contacté Robert plus tôt dans la journée et lui ai demandé s'il avait des commentaires sur ce que tout cela dit à propos de la supervision par l'ANSSI du développement du Tchap. "Tout le monde peut faire des erreurs ou rater une vulnérabilité", a déclaré Robert, ajoutant qu'il "ne pouvait pas connaître en détail ce que l'ANSSI avait fait" et qu'il ne pouvait pas en dire davantage. Robert a eu une conversation téléphonique avec des représentants du gouvernement français le jour où il a révélé la vulnérabilité de Tchap, mais on ne sait pas ce qui a été dit. Cependant, étant donné que Tchap est conçu pour être une alternative plus sûre que WhatsApp et Telegram aux utilisateurs (employés et représentants du gouvernement), la vitesse à laquelle il a été violé doit être une source de préoccupation. Après tout, si un chercheur en sécurité indépendant disposant de peu de temps libre et de beaucoup de curiosité professionnelle pouvait découvrir une telle faille de sécurité en seulement 90 minutes, alors l’Agence nationale de la cybersécurité aurait dû être comme une combinaison bon marché? Notamment parce que la raison d'être de Tchap est de maintenir un contrôle plus strict sur la sécurité des communications et d'éloigner les conversations gouvernementales des services tiers perçus comme moins sécurisés, tels que WhatsApp ou Telegram. En transférant les conversations gouvernementales sur des serveurs français internes, le risque d'une surveillance potentielle par un État-nation étranger devait être réduit.

Dans un communiqué publié hier, le gouvernement français a déclaré que "le DINSIC écoute les experts" et que la vulnérabilité a été "corrigée en quelques heures". Il a également confirmé que le programme "DINSIC lancera bientôt un programme de« bount bounty "pour aider à détecter tout autre problème de sécurité potentiel.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *