La messagerie chiffrée Tchap, déployée par l'État français pour garantir la confidentialité des échanges entre agents publics, a subi une faille de sécurité sans précédent. Un pirate informatique affirme avoir extrait des données sensibles, exposant des milliers de comptes et des centaines de milliers de messages. Cette intrusion remet en question l'efficacité des solutions souveraines face aux cybermenaces.
Lancée en 2021 et généralisée en 2025, Tchap devait remplacer des outils comme WhatsApp pour les administrations. Pourtant, malgré un investissement massif, la plateforme n'a pas résisté à une attaque ciblée. Les conséquences de cette faille soulèvent des interrogations sur la robustesse des infrastructures numériques publiques.
Pourquoi Tchap, la messagerie de l'État, a-t-elle été piratée ?
Une faille exploitée par un cybercriminel
Le 7 juin 2026, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a détecté une intrusion dans Tchap. Un pirate utilisant le pseudonyme « Misère » a revendiqué l’attaque sur un forum spécialisé, affirmant avoir exfiltré 13 Go de données. Parmi celles-ci, 643 459 messages échangés par 73 467 agents dans 976 salons publics, couvrant une période de trois ans.
Les échantillons publiés montrent que les données proviennent principalement de salons non chiffrés, accessibles à tous les utilisateurs. Bien que les conversations privées, protégées par un chiffrement de bout en bout, n'aient pas été compromises, les salons publics contenaient des échanges professionnels et des documents partagés entre ministères.
Un compte lié à l'Éducation nationale visé
Selon les informations disponibles, le compte compromis appartiendrait à un agent de l’Éducation nationale. La Direction interministérielle du numérique (DINUM) n’a pas confirmé ces détails, mais l’attaque semble avoir exploité une vulnérabilité dans la gestion des accès. Les salons publics, bien que moins sensibles, regroupaient des discussions entre agents de différents services, parfois accompagnées de fichiers internes.
Quelles données ont été exposées ?
Des échanges professionnels et informels
Tchap distingue deux types de conversations : les salons publics, non chiffrés, et les échanges privés, sécurisés. Seuls les premiers auraient été compromis. Cependant, ces salons ne se limitaient pas à des discussions anodines. Certains, comme le salon #Apéro, regroupaient des centaines d’agents partageant des mèmes et des échanges informels, mais d’autres contenaient des informations professionnelles.
Parmi les données exposées, le pirate a relevé 90 mentions de documents classés "Diffusion Restreinte". Bien que leur contenu exact n'ait pas été divulgué, cette fuite met en lumière les risques liés à une mauvaise utilisation des outils sécurisés.
Une faille dans la protection des données sensibles
La DINUM a rappelé aux utilisateurs que les salons publics ne devaient en aucun cas servir à échanger des informations confidentielles. Pourtant, cette intrusion prouve que des agents ont enfreint cette règle, exposant des données potentiellement sensibles. L’incident souligne également les limites des solutions souveraines face à des cybercriminels déterminés.
Un nouvel incident dans la cybersécurité publique
Une série de cyberattaques contre l'État
Ce piratage s’inscrit dans une série d’incidents touchant les administrations françaises. En décembre 2025, le ministère de l’Intérieur avait subi une compromission de compte, tandis que le ministère des Sports avait connu une faille similaire. En avril 2026, l’Agence nationale des titres sécurisés (ANTS) avait été victime d’une fuite de données, poussant le gouvernement à renforcer ses mesures de cybersécurité.
Tchap, basée sur le protocole Matrix, avait été déployée pour réduire la dépendance aux outils grand public et améliorer la sécurité des échanges. Avec 300 000 utilisateurs, la plateforme devait incarner la souveraineté numérique française. Pourtant, cette attaque montre que même les solutions les plus ambitieuses restent vulnérables.
Les mesures correctives mises en place
La DINUM a réagi en bloquant le compte à l’origine de l’intrusion et en alertant la Commission nationale de l’informatique et des libertés (CNIL). Un rappel a été envoyé à tous les utilisateurs pour les inciter à ne pas partager d’informations sensibles dans les salons publics. Une enquête est en cours pour déterminer les causes exactes de cette faille et renforcer la protection des données.
FAQ
Qu'est-ce que Tchap et qui l'utilise ?
Tchap est une messagerie chiffrée développée par l'État français pour les agents publics. Elle compte 300 000 utilisateurs, principalement au sein des ministères et administrations.
Quelles données ont été piratées ?
Le pirate a exfiltré 643 459 messages provenant de 73 467 comptes dans des salons publics non chiffrés. Les conversations privées, protégées par un chiffrement de bout en bout, n'ont pas été affectées.
Comment l'État a-t-il réagi à cette cyberattaque ?
La DINUM a bloqué le compte compromis, notifié la CNIL et rappelé aux utilisateurs les bonnes pratiques en matière de sécurité. Une enquête est en cours pour identifier les vulnérabilités exploitées.
Conclusion
Le piratage de Tchap marque un tournant dans la cybersécurité des administrations françaises. Malgré des investissements importants, la messagerie souveraine n'a pas résisté à une attaque ciblée, exposant des milliers de messages et de comptes. Cet incident rappelle l'importance de respecter les protocoles de sécurité, même sur des plateformes réputées fiables.
Pour l'État, cette faille représente un défi majeur. Elle interroge la capacité des solutions souveraines à protéger efficacement les données sensibles. Les mesures correctives mises en place devront être renforcées pour éviter de nouvelles intrusions et restaurer la confiance dans les outils numériques publics.