Tchap est une solution de messagerie instantanée qui permet d’échanger avec des agents de l’administration et de leur transmettre des documents confidentiels. Dans un contexte de crise sanitaire, le travail à distance est devenu une réalité avec laquelle il faut composer. Il était fréquent de recourir à des canaux de communication non chiffrés pour transmettre des pièces justificatives, comme les mails. Pour pallier aux failles potentielles liées à ces envois peu sécurisés, l’Etat français a mis au point Tchap, une solution de messagerie chiffrée de bout en bout qui permet d’échanger des fichiers et des messages en toute sécurité.
Messagerie Tchap : c’est quoi ?
Tchap a pour but de répondre à la problématique de confidentialité des échanges avec les administrations. Les contribuables, amenés à envoyer leurs pièces justificatives aux agents des différentes administrations, le faisaient par le biais de plusieurs canaux, souvent peu sécurisés. Le contribuable risque de voir ces documents personnels et confidentiels, atterrir entre les mains de pirates mal intentionnés qui peuvent les exploiter à mauvais escient.
L’application Tchap est pilotée par l’Etat français et hébergée sur des serveurs en France. Elle est donc soumise à la législation française et au règlement général sur la protection des données, ce qui en fait une solution non seulement sécurisée et souveraine, mais aussi gratuite d’utilisation.
Tchap, disponible sur interieur.gouv.fr ?
Tchap est disponible en version web sans téléchargement sur www.tchap.gouv.fr. Bien que l’application web ne soit pas disponible sur le site interieur.gouv.fr, elle est téléchargeable sur Playstore pour android et Appstore pour iOS. Vous pouvez vous référer à la page numerique.gouv.fr/outils-agents/tchap-messagerie-instantanee-etat/ pour les liens de téléchargement officiels afin d’éviter toute confusion.
La confidentialité est intrinsèquement implémentée dans le moteur de messagerie de Tchap. Exception faite des échanges dans les salons publics, tous les messages sont chiffrés de bout en bout : même interceptés, les éléments transmis seraient illisibles et virtuellement indéchiffrables. A l’inscription, un mail appartenant au nom de domaine .gouv.fr ou au site de l’Elysée est demandé. L’association avec l’adresse électronique fournit une couche de sécurité supplémentaire puisque uniquement les personnes préalablement autorisées peuvent ouvrir un compte.
Chaque utilisateur dispose d’une clé de chiffrement propre à lui qui atteste de l’authenticité de son identité. Avec un système d’annuaire intégré, les agents de l’administration peuvent facilement retrouver leurs interlocuteurs et vérifier leur identité. Tchap intègre également le système de salons : il est possible d’engager des conversations ouvertes dans des salons publics tout comme il est possible d’envoyer des messages en toute confidentialité.
Tchap : créer un compte, télécharger et configurer Tchap sur iOS et Android
Pour vous inscrire sur Tchap, commencez par télécharger l’application mobile sur Playstore depuis votre smartphone Android ou sur l’AppStore depuis votre iPhone ou iPad. Alternativement, vous pouvez utiliser l’application en ligne sur www.tchap.gouv.fr depuis votre ordinateur.
Pour créer un compte Tchap, une adresse électronique professionnelle publique de type @gouv.fr ou @elysee.fr est nécessaire. Si vous n’en disposez pas, vous aurez besoin de recevoir l’invitation d’un agent public dans votre adresse électronique et de l’utiliser pour vous inscrire. Quelle que soit la méthode choisie, vous aurez besoin d’accéder à votre adresse électronique pour valider et finaliser l’inscription.
Une fois l’inscription terminée et les données de profil remplies, ces dernières sont visibles par une recherche de contacts. Si vous ne souhaitez pas que ces éléments aient de la visibilité, vous pouvez la désactiver en inscrivant votre compte sur liste rouge.
Si vous utilisez Tchap sur plusieurs appareils, il faut bien noter que la connexion depuis un nouveau terminal déclenche sur vos autres appareils un message d’invitation à partager des clés de chiffrement, nécessaire pour lire l’historique des échanges. Si vous vous déconnectez, les clés de chiffrement, stockées localement, sont supprimées de l’appareil. En revanche, la fermeture de l’application mobile ou du navigateur web n’entraîne pas de
déconnexion.
Tchap : notre avis
Tchap piraté ?
Tchap a été mis en ligne sur Playstore et AppStore le 17 avril 2019. Deux jours plus tard, la nouvelle du piratage du Whatsapp étatique était déjà relayée par le HuffPost et d’autres supports. Elliot Alderson, le pseudonyme du lanceur d’alerte qui n’est pas sans rappeler le protagoniste principal et l’ingénieur en cybersécurité de la série Mr Robot, a signalé immédiatement aux autorités la faille de sécurité qu’il a trouvé.
Ayant pu contourner la phase de vérification des adresses électroniques, le pirate en question a pu gagner accès à Tchap sans détenir d’adresse @elysee.fr ou @gouv.fr. Il a ainsi accédé aux salons publics et a pu consulter les profils inscrits, des données confidentielles dont la fuite a inquiété plus d’un.
Matrix, la fondation qui maintient le protocole de messagerie éponyme qu’utilise Tchap a rapidement déployé un un patch correctif, quelques heures seulement après l’alerte. Alors que les cyberattaques planent chaque jour sur tous les États, l’incident est loin d’être rassurant pour le dernier né de la french tech. L’équipe Matrix a pris seulement 3 heures pour appliquer tous les correctifs nécessaires à leur système. Il est à noter que le ministère allemand de la défense utilise également une solution de messagerie basée sur le même protocole.
Tchap : les failles et les vulnérabilités trouvées
Dans l’article publié sur Medium, Elliot Alderson, de son vrai nom Baptiste Robert, a détaillé son raisonnement et sa démarche : il a simplement apposé @elysee.fr à son mail. C’est comme ça que fs0c131y@protonmail.com@presidence@elysee.fr, l’adresse mail temporaire qu’il a créée, a pu recevoir le mail de confirmation automatique de la part de Tchap.
Après avoir décompilé Tchap, Baptiste a analysé ses lignes de code et a réussi à désactiver des certificats de sécurité, chose qui lui permettrait de recevoir le mail de validation en proposant une adresse mail qui ressemble à une adresse mail officielle sans en être une.
Tchap : déchiffrement impossible
En vous déconnectant de Tchap sur un terminal, vos clés de chiffrement sont supprimées de ce dernier. Si vous ouvrez une nouvelle session Tchap sur ce même terminal, vous ne serez plus en mesure de lire les messages envoyés ou reçus avant votre déconnexion. Chaque message reçu ou envoyé sera remplacé par la phrase « Déchiffrement impossible : l’utilisateur n’a pas envoyé les clefs de déchiffrement pour ce message. »
Pour y remédier, cliquez sur « re-demander les clés de chiffrement depuis vos autres appareils » (situé juste au-dessous des messages Déchiffrement impossible) puis validez les demandes d’envoi qui s’affichent sur l’autre appareil connecté. Il faut donc veiller à toujours garder une session active dans au moins un appareil.
Questions / Réponses que vous vous posez à propos de Tchap
Est-ce que Tchap peut remplacer Whatsapp, Telegram ou Signal ?
Tchap n’est pas une alternative aux messageries précitées, puisque ces dernières sont destinées au grand public, sans invitation. l’application Tchap est réservée aux échanges avec les agents de l’administration, tandis que Whatsapp, Telegram et Signal sont à privilégier pour communiquer confidentiellement avec votre entourage.
Quid de l’usage de la fonctionnalité vidéo sur Tchap ?
Tchap a été créé pour échanger des fichiers et des messages confidentiels. La fonctionnalité de visioconférence ne rentre pas en jeu dans ce cas de figure. Il n’y a pas d’informations sur le calendrier des fonctionnalités à venir, mais on pourrait bien s’attendre à voir la visioconférence entrer dans l’arsenal de la messagerie souveraine.
