La messagerie gouvernementale française Tchap ferait l’objet d’une revendication de fuite de données d’une ampleur préoccupante. Selon FrenchBreaches, un cybercriminel affirme avoir eu accès à une partie de la plateforme et avoir collecté des informations liées à plus de 73 000 agents de l’État, plus de 643 000 messages et près de 60 000 fichiers multimédias. À ce stade, il faut toutefois rester prudent : l’authenticité des données, l’étendue réelle de l’incident et la méthode utilisée n’ont pas été confirmées officiellement.

Tchap occupe une place particulière dans l’écosystème numérique français. Présentée comme la messagerie instantanée du secteur public, elle est conçue et gérée par l’administration française pour permettre aux agents publics d’échanger dans un cadre professionnel sécurisé. Le service est utilisé par plus de 600 000 agents publics et vise notamment à offrir une alternative souveraine aux messageries grand public comme WhatsApp, Telegram ou Signal pour les communications administratives.

Selon la revendication publiée, l’accès initial aurait été obtenu à partir d’un compte valide lié à un environnement de l’Éducation nationale. Le cybercriminel affirme ensuite avoir exploré plusieurs fonctionnalités de la plateforme et consulté des espaces collaboratifs associés à différentes administrations. Les données revendiquées couvriraient une période allant de juin 2023 à juin 2026, ce qui, si cela se confirmait, pourrait représenter près de trois années d’activité dans certains salons de discussion.

Les chiffres avancés sont importants : 73 467 agents de l’État, 643 459 messages, 876 salons avec historique accessible, 4 002 espaces de discussion référencés, 59 386 fichiers multimédias et 13,51 Go de données téléchargées. La publication évoque aussi 90 références à des contenus portant la mention « Diffusion Restreinte ». Ces éléments doivent être considérés comme des affirmations non vérifiées tant qu’une analyse technique indépendante ou une communication officielle ne les aura pas confirmés.

Les données potentiellement concernées incluraient des identifiants Tchap ou Matrix, des noms d’affichage, des adresses courriel professionnelles, des organismes de rattachement, des listes de participants, des historiques de conversations, des métadonnées de comptes, des liens de visioconférence, des documents partagés, des images et des pièces jointes. Le risque ne se limiterait donc pas au contenu des messages. La cartographie des groupes, des administrations et des relations professionnelles peut aussi constituer une information sensible.

L’un des volets les plus préoccupants concerne les fichiers partagés. Le cybercriminel affirme avoir récupéré près de 60 000 fichiers, notamment des documents PDF, des fichiers bureautiques, des images, des scripts PowerShell, des pièces jointes administratives et des contenus multimédias. Rien ne permet encore d’établir avec certitude leur nature exacte ni leur niveau de sensibilité. Mais dans un environnement gouvernemental, la seule possibilité d’une exposition de documents internes justifie une enquête approfondie.

Cette affaire intervient dans un contexte déjà tendu. En mars 2026, le Centre de Coordination des Crises Cyber avait publié une note d’alerte sur le ciblage des messageries instantanées utilisées par des personnalités politiques, de hauts responsables et des cadres de l’administration. L’alerte soulignait que ces attaques pouvaient permettre à un attaquant d’accéder à l’historique des conversations, au carnet d’adresses de la victime, ou encore d’usurper son identité après l’association frauduleuse d’un appareil à un compte.

Le dossier revêt aussi une dimension québécoise. Le 30 mars dernier, à Paris, le ministère de la Cybersécurité et du Numérique du Québec et la Direction interministérielle du numérique de la France ont signé une déclaration d’intention visant à renforcer leur coopération en matière de souveraineté numérique. L’entente prévoit notamment le partage d’expertises et la mutualisation de solutions numériques pour l’administration publique, incluant les environnements numériques de travail, les outils collaboratifs souverains, la messagerie instantanée et la visioconférence.

Dans ce contexte, Tchap pourrait devenir une référence ou une source d’inspiration pour le Québec dans sa volonté de réduire sa dépendance aux grandes plateformes américaines et de mieux protéger les données des citoyens. La fuite revendiquée en France prend donc une résonance particulière : elle rappelle que les solutions souveraines doivent aussi démontrer, en continu, leur robustesse opérationnelle, leur gouvernance des accès et leur capacité à résister aux usages détournés.

Tchap n’en est pas à son premier incident public. Lors de son lancement en avril 2019, le chercheur en cybersécurité Baptiste Robert, connu sous le pseudonyme Elliot Alderson, avait mis en évidence une faille de contrôle d’accès permettant de s’inscrire comme utilisateur interne sans disposer d’une adresse officielle. Le problème avait été corrigé rapidement. L’épisode avait toutefois montré que, dans une messagerie d’État, la gestion des accès peut être aussi critique que le chiffrement lui-même.

C’est précisément l’enjeu central de cette nouvelle revendication. Tchap repose sur Matrix, un protocole ouvert et décentralisé, avec une architecture pensée pour la souveraineté numérique, l’hébergement maîtrisé et le chiffrement de bout en bout. Mais une messagerie sécurisée ne dépend pas uniquement de sa cryptographie. Les comptes, les appareils associés, les permissions, les annuaires internes, les fichiers partagés et les métadonnées deviennent autant de surfaces d’attaque possibles.

Si la fuite revendiquée était confirmée, les conséquences pourraient être importantes. Des acteurs malveillants pourraient utiliser ces informations pour mener des campagnes de hameçonnage ciblé, usurper l’identité d’agents publics, préparer des attaques d’ingénierie sociale, identifier des groupes de travail sensibles ou mieux comprendre les relations entre administrations. La valeur de telles données tient autant à leur contenu qu’à leur contexte.

Pour l’instant, la prudence s’impose. Les chiffres circulent, les échantillons allégués existent selon les observateurs spécialisés, mais le périmètre réel de l’incident n’est pas établi publiquement. Il faudra surveiller les éventuelles communications de la DINUM, de l’ANSSI, du ministère de l’Intérieur ou d’autres autorités françaises compétentes. Dans ce type de dossier, la différence entre une revendication criminelle, une compromission limitée et une fuite massive confirmée est essentielle.

L’affaire Tchap rappelle enfin une réalité plus large pour les États. Déployer des outils souverains ne suffit pas à garantir la sécurité des communications publiques. Il faut aussi surveiller les comptes, limiter les accès, détecter les comportements anormaux, encadrer le partage de fichiers et former les utilisateurs. La souveraineté numérique ne se mesure pas seulement à l’endroit où les données sont hébergées. Elle se joue aussi dans la discipline quotidienne des usages.

Source : French Breaches

*****

Du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.

Ou encore…

Écoutez la plus récente édition de Mon Carnet,
le magazine hebdomadaire de l’actualité numérique.