Un chercheur découvre une faille de sécurité sur Tchap, la messagerie sécurisée réservée aux services de l'Etat

franceinfo
Baptiste Robert, connu sur Twitter sous le pseudo d'Elliot Alderson, est parvenu à s'inscrire sur l'application et à avoir accès aux salons et profils publics. Ce bug a depuis été identifié et corrigé.

Débuts manqués pour l'application de messagerie Tchap, qui doit remplacer Telegram et WhastApp dans les services de l'Etat français. Quelques heures après son lancement, mercredi, un expert informatique est parvenu à exploiter une faille de sécurité pour faire enregistrer son inscription comme un employé lambda de l'Elysée, révèle BFM Tech, vendredi 19 avril.

Pour pouvoir s'inscrire à ce service, il faut avoir une adresse mail terminant par gouv.fr ou elysee.fr. Mais le chercheur Baptiste Robert, connu sur Twitter sous le pseudo d'Elliot Alderson, est parvenu à intercepter les échanges entre le formulaire d'inscription de l'application et les serveurs, explique BFMTV. Il a ensuite inscrit sa propre adresse mail personnelle avec le suffixe elysee.fr. Cette manipulation a fonctionné à merveille. Le chercheur a reçu un mail de confirmation et a pu se connecter à la messagerie.

Du fait d'un problème de filtrage sur l'adresse email lors de l'inscription, j'ai réussi à m'inscrire sur l'application en tant qu'employé de l'Elysée sans avoir d'adresse mail officielle. J'ai ainsi eu accès à tous les salons et profils publics.

Baptiste Robert, chercheur en informatique

à BFM Tech

Après être parvenu à accéder à cet espace théoriquement sécurisé, le chercheur a rapidement alerté les autorités sur (...)

Lire la suite sur Franceinfo

A lire aussi