Une faille de sécurité dans l'application de messagerie du gouvernement français expose des conversations confidentielles – TechCrunch

Le gouvernement français vient de lancer sa propre application de messagerie appelée Tchap afin de protéger les conversations des pirates informatiques, des sociétés privées et des entités étrangères. Mais Elliot Alderson, également connu sous le nom de Baptiste Robert, immédiatement trouvé une faille de sécurité. Il a pu créer un compte même si le service est censé être réservé aux représentants du gouvernement.

Tchap n’a pas été construit à partir de zéro. Le DINSIC, l’agence française chargée du numérique, a lancé un projet à code source libre appelé Riot, basé sur un protocole à code source ouvert appelé Matrix.

En quelques mots, Matrix est un protocole de messagerie doté d'un cryptage de bout en bout. Il est en concurrence avec d’autres protocoles, tels que le protocole de signal largement utilisé par les applications grand public, tels que WhatsApp, Signal, les conversations secrètes de Messenger et les conversions incognito de Google Allo. Les conversations Messenger et Allo ne sont pas cryptées de bout en bout par défaut.

Riot est un client Matrix qui fonctionne sur les ordinateurs de bureau et mobiles. Vous pouvez rejoindre des salles, commencer des conversations privées, partager des photos et faire tout ce que vous attendez d'une application de messagerie moderne. Voici à quoi ça ressemble:

Développer le Tchap est devenu essentiel car l’équipe de campagne d’Emmanuel Macron s’appuyait énormément sur Telegram – le gouvernement français utilise toujours Telegram et WhatsApp pour de nombreuses conversations sensibles. Par défaut, Telegram n’utilise pas le cryptage de bout en bout. En d’autres termes, les personnes travaillant pour Telegram pourraient facilement lire les conversations de Macron. C’est une grave faiblesse de la sécurité.

De même, vous ne voulez pas que le ministère de la Défense utilise Slack pour parler d’opérations sensibles. Le gouvernement américain pourrait éventuellement émettre un mandat pour accéder à ces conversations sur les serveurs de Slack.

Tchap propose un cryptage de bout en bout et les messages cryptés sont stockés sur des serveurs français. L'accès est réservé aux fonctionnaires, car vous devez disposer d'une adresse électronique active se terminant par @ quelque chose.gouv.fr ou @ elysee.fr.

Hier, Alderson a découvert que vous pouvez créer un compte et accéder aux chaînes publiques même si vous n’avez pas d’adresse officielle. Ajouter @ elysee.fr à la fin de son adresse email était suffisant pour recevoir l'email de confirmation sur sa véritable adresse email.

Alderson a rapidement révélé le bogue à l'équipe Matrix. Matrix a rapidement publié un correctif et l'a déployé. C'était lié au système d'identification utilisé par le gouvernement français.

Nous avons fourni un correctif qui a été déployé vers 13h00 CET; la question n'a pas été exploitée autrement que par @ fs0c131y. Nous vérifions actuellement deux fois le même problème dans d'autres déploiements.

– Matrix (@matrixdotorg) 18 avril 2019

Selon Alderson, il existe un bogue dans la méthode d’analyse utilisée dans un module Python bien connu. L'insecte n'a pas été corrigé depuis juillet 2018.

La bonne nouvelle est que Tchap est officiellement lancé aujourd'hui. Le DINSIC a réussi à corriger cette faille de sécurité juste à temps avant le lancement officiel et quelqu'un pourrait en tirer parti. Dans son communiqué de presse, le gouvernement indique que la DINSIC lancera un programme de prime aux bogues pour identifier d'autres vulnérabilités.