tchap

Tchap: l’application de messagerie du gouvernement était vulnérable

Un chercheur en cybersécurité a trouvé une faille dans la nouvelle application de messagerie du gouvernement Français, Tchap. Cette application est sensée être accessible seulement aux fonctionnaires et politiciens qui ont des comptes email associés au gouvernement.

Nommée “Tchap,” l’application offre un chiffrement de bout en bout et a été créé par le gouvernement Français pour que les communications de ses employés restent sur des serveurs à l’intérieur du pays. Une mesure de sécurité pour éviter l’espionnage.

L’application utilise le client Riot, un logiciel libre de messagerie instantanée qui implémente le protocole Matrix pour les communications chiffrées de bout en bout.

C’est le même protocole Matrix sur lequel nous avons écrit un article il y’a quelques jours. Souvenez-vous, un hacker avait pénétré leurs serveurs et avait subtilisé des messages privés non-cryptés, des hash de mots de passe, des tokens d’accès et des clés GPG.

Bien que l’application Tchap soit disponible sur le Google Play Store et peut être téléchargé par n’importe qui, seulement les utilisateurs ayant un compte email du gouvernement, par exemple, @gouv.fr ou @elysee.fr, peuvent s’inscrire et y accéder.

Cependant, Robert Baptiste, un chercheur en sécurité Français, a trouvé une faille qui permet à n’importe qui de créer un compte sur Tchap et d’accéder aux services sans avoir d’adresse email gouvernementale.

Dans un article, Robert a démontré comment il a pu créer un compte en utilisant une adresse email normal en exploitant un bug de validation d’email.

“J’ai modifié mon email de cette façon fs0c131y@protonmail.com@presidence@elysee.fr. Bingo! J’ai reçu un email de Tchap, j’ai pu valider mon compte!” a déclaré Robert.

“Je suis connecté comme un employée de l’Elysée, et j’avais accès aux salons publiques.”

Robert a notifié l’équipe de Matrix, qui a rapidement déployé un patch pour régler le problème. Selon Matrix, seulement le déploiement de matrix DINSIC est concerné par ce bug.

Laisser un commentaire