đŽUn cybercriminel affirme avoir obtenu lâaccĂšs Ă un compte valide sur Tchap, la messagerie sĂ©curisĂ©e de lâadministration française.
Quelques explications đ§”
à partir de ce compte, il prétend avoir pu collecter :
đ 73 467 comptes dâagents publics
đ 643 459 messages
đ 876 salons avec historique accessible
đ plus de 59 000 fichiers
đ environ 13,5 Go de donnĂ©es
đ des mĂ©tadonnĂ©es liĂ©es aux comptes, aux salons et aux terminaux
Ă ce stade, prudence : il sâagit dâune revendication. Rien ne permet encore dâaffirmer que tous les chiffres sont exacts, ni que tous les contenus annoncĂ©s sont sensibles.
De quoi parle-t-on ? đœ
Tchap est la messagerie interministĂ©rielle de lâĂtat français.
Elle est utilisĂ©e par des agents publics pour Ă©changer dans un cadre professionnel, au sein dâadministrations, de ministĂšres ou de groupes de travail transversaux.
Elle a Ă©tĂ© pensĂ©e comme une alternative souveraine aux messageries privĂ©es grand public, notamment WhatsApp, Telegram ou Signal, afin dâĂ©viter que des Ă©changes professionnels de lâadministration française transitent par des services commerciaux Ă©trangers.
Techniquement, Tchap repose sur Matrix, un protocole de messagerie décentralisée.
Matrix permet Ă plusieurs serveurs de communiquer entre eux, un peu comme le courrier Ă©lectronique : un utilisateur dâun serveur peut Ă©changer avec un utilisateur dâun autre serveur, si la fĂ©dĂ©ration est autorisĂ©e.
Tchap utilise cette logique pour organiser une messagerie rĂ©partie entre plusieurs environnements administratifs. Son interface vient de lâĂ©cosystĂšme Element, le client Matrix le plus connu, adaptĂ© ici aux usages de lâadministration.
Attention â ïž
Si les données revendiquées sont authentiques, cela ne signifie pas automatiquement que le chiffrement de Tchap aurait été cassé.
Cela ne veut pas dire non plus que toute la plateforme aurait été compromise.
Le scĂ©nario avancĂ© ressemble plutĂŽt Ă lâexploitation maximale dâun compte lĂ©gitime. (ce que le cybercriminel revendique)
Autrement dit : lâattaquant ne dit pas avoir âcassĂ© Matrixâ. Il affirme avoir obtenu un compte valide, puis utilisĂ© ce compte pour voir tout ce quâil pouvait voir.
C'est là que le sujet devient intéressant.
Ce que lâacteur affirme avoir exploitĂ© đ
Selon lâauteur de la revendication, lâaccĂšs initial aurait Ă©tĂ© obtenu par ingĂ©nierie sociale sur un compte liĂ© Ă un agent de lâĂducation nationale.
Une fois connecté, il aurait utilisé des fonctionnalités normales de Matrix pour :
đ explorer lâannuaire des utilisateurs
đ rechercher des salons
đ consulter les espaces accessibles
đ remonter lâhistorique des conversations disponibles
đ rĂ©cupĂ©rer les fichiers partagĂ©s dans ces Ă©changes
Dans Matrix, un compte peut voir plusieurs types dâinformations selon la configuration du serveur et des salons :
đ annuaire des utilisateurs
đ salons publics ou semi-publics
đ salons dĂ©jĂ rejoints
đ salons thĂ©matiques
đ espaces transversaux
đ historiques visibles aux nouveaux membres
đ mĂ©dias partagĂ©s
đ mĂ©tadonnĂ©es de terminaux
đ clĂ©s publiques des appareils
Autrement dit, un compte compromis ne donne pas seulement accĂšs Ă âses messages privĂ©sâ.
Il peut aussi devenir une porte dâentrĂ©e vers tout ce que ce compte est autorisĂ© Ă voir.
Pourquoi 600 ou 800 salons seraient accessibles ? đïž
AccĂ©der Ă plusieurs centaines de salons ne veut pas forcĂ©ment dire que lâattaquant aurait forcĂ© lâaccĂšs Ă des conversations privĂ©es.
Sur Matrix, certains salons peuvent ĂȘtre publics, transversaux, thĂ©matiques ou joignables par tout agent authentifiĂ©.
Des noms de salons comme :
đ âOutils collaboratifsâ
đ âDroit pĂ©nal et procĂ©dure pĂ©naleâ
đ âIntelligence artificielleâ
đ âMĂ©decine-santĂ©â
đ âSĂ©curitĂ© civileâ
ressemblent davantage Ă des espaces de discussion communautaires quâĂ des canaux hautement confidentiels.
Mais cela ne rend pas lâincident nĂ©gligeable.
Un salon public interne Ă lâadministration nâest pas un salon public au sens dâInternet. Il peut contenir des Ă©changes professionnels, des documents, des liens de rĂ©union, des noms dâagents, des habitudes de travail, des informations contextuelles et des fichiers dont lâagrĂ©gation devient sensible.
Le problĂšme de lâannuaire đ„
Lâacteur affirme avoir utilisĂ© la fonction de recherche de lâannuaire Matrix pour Ă©numĂ©rer les utilisateurs.
Il aurait interrogĂ© automatiquement la fonction de recherche des comptes pour reconstruire une liste de dizaines de milliers dâagents.
Cette liste contiendrait notamment :
đ noms dâaffichage
đ adresses professionnelles
đ ministĂšres ou organismes de rattachement
đ serveurs dâorigine
đ mĂ©tadonnĂ©es liĂ©es aux comptes et Ă©quipements
Ce type dâĂ©numĂ©ration nâa rien dâimpossible si la recherche nâest pas assez limitĂ©e, pas assez cloisonnĂ©e ou pas assez protĂ©gĂ©e contre les requĂȘtes rĂ©pĂ©tĂ©es.
Ce nâest pas forcĂ©ment un âpiratage profondâ. Cela peut ĂȘtre un abus massif dâune fonctionnalitĂ© lĂ©gitime.
Le sujet des fichiers đ
Le point le plus préoccupant concerne les fichiers.
Lâauteur affirme avoir tĂ©lĂ©chargĂ© plus de 59 000 mĂ©dias et documents, pour environ 13,5 Go.
Dans Matrix, les fichiers partagĂ©s dans les conversations sont rĂ©fĂ©rencĂ©s par des identifiants mĂ©dias. Selon la configuration du serveur, connaĂźtre lâidentifiant ou lâURL dâun fichier peut parfois permettre de le rĂ©cupĂ©rer, ou au minimum faciliter son tĂ©lĂ©chargement via lâAPI mĂ©dia.
Cela ne veut pas forcĂ©ment dire que âtous les fichiers de Tchapâ Ă©taient librement accessibles.
Le scénario le plus vraisemblable est plutÎt celui-ci :
Lâattaquant aurait lu des messages accessibles au compte, extrait les liens ou identifiants de fichiers prĂ©sents dans ces messages, puis tĂ©lĂ©chargĂ© les piĂšces jointes correspondantes.
Si ces messages provenaient de salons inter-administrations, les mĂ©dias pouvaient ĂȘtre hĂ©bergĂ©s sur plusieurs serveurs Tchap.
Les Ă©lĂ©ments sensibles revendiquĂ©s đ§š
Lâacteur affirme Ă©galement avoir trouvĂ© :
đ des liens Zoom
đ des codes Webex
đ des scripts PowerShell
đ des rĂ©fĂ©rences Ă des annuaires internes
đ des identifiants techniques
đ des mentions âDiffusion Restreinteâ
Ces affirmations doivent ĂȘtre prises avec prĂ©caution.
Une mention âDiffusion Restreinteâ dans un message ou un nom de fichier ne prouve pas automatiquement quâun document protĂ©gĂ© a Ă©tĂ© exfiltrĂ©.
Un identifiant trouvĂ© dans un script ne prouve pas non plus quâil est encore actif ou exploitable.
Mais ces éléments montrent un risque classique des messageries internes : les utilisateurs y déposent parfois des informations techniques ou opérationnelles qui ne devraient jamais circuler dans un salon.
Le vrai problĂšme nâest pas forcĂ©ment Matrix đ§
Matrix est un protocole puissant, pensĂ© pour la fĂ©dĂ©ration, lâinteropĂ©rabilitĂ© et le chiffrement.
Mais comme toute infrastructure collaborative, sa sécurité dépend énormément de sa configuration et de sa gouvernance.
Les vraies questions sont donc :
đ qui peut voir lâannuaire ?
đ qui peut rejoindre quels salons ?
đ un nouvel entrant peut-il lire lâhistorique ?
đ les mĂ©dias sont-ils protĂ©gĂ©s par lâappartenance au salon ?
đ les salons publics internes sont-ils auditĂ©s ?
đ les piĂšces jointes sensibles sont-elles contrĂŽlĂ©es ?
đ les secrets techniques sont-ils dĂ©tectĂ©s lorsquâils sont partagĂ©s ?
Le chiffrement de bout en bout ne rĂšgle pas tout đ
Le chiffrement protĂšge contre certains accĂšs techniques non autorisĂ©s, mais il ne protĂšge pas contre un compte lĂ©gitime compromis qui lit ce quâil est autorisĂ© Ă lire.
Si un agent est membre dâun salon, ou si un salon est accessible Ă tous les agents, le chiffrement ne transforme pas ce salon en coffre-fort.
Le risque se déplace alors vers la gestion des droits, des usages et des espaces.
Le vrai problĂšme : non pas une preuve que Tchap serait âcassĂ©â, mais la possibilitĂ© quâun seul compte ait permis de cartographier beaucoup trop de choses.
Quels risques si la revendication est confirmĂ©e ? đš
Si les Ă©lĂ©ments avancĂ©s sont exacts, lâincident serait sĂ©rieux pour plusieurs raisons.
Dâabord, lâĂ©numĂ©ration de plus de 73 000 agents permettrait de construire une base de ciblage trĂšs prĂ©cieuse pour du phishing, de lâusurpation ou de lâingĂ©nierie sociale.
Ensuite, les messages et salons exposés pourraient révéler des habitudes de travail, des interactions entre services, des sujets internes et des informations organisationnelles.
Enfin, les fichiers partagĂ©s peuvent contenir des documents administratifs, des captures, des piĂšces jointes, voire des informations techniques rĂ©utilisables dans dâautres attaques.
Conclusion đ§
Ă ce stade, rien ne permet dâaffirmer que lâintĂ©gralitĂ© de Tchap aurait Ă©tĂ© compromise.
Rien ne démontre non plus un casse du chiffrement Matrix.
Le risque ne vient pas toujours dâun attaquant qui casse la porte.
Parfois, il entre avec un badge valide, puis découvre que beaucoup trop de portes sont restées ouvertes.
https://fuitesinfos.fr/article/2026-06-07-tchap-2
Quelques explications đ§”
à partir de ce compte, il prétend avoir pu collecter :
đ 73 467 comptes dâagents publics
đ 643 459 messages
đ 876 salons avec historique accessible
đ plus de 59 000 fichiers
đ environ 13,5 Go de donnĂ©es
đ des mĂ©tadonnĂ©es liĂ©es aux comptes, aux salons et aux terminaux
Ă ce stade, prudence : il sâagit dâune revendication. Rien ne permet encore dâaffirmer que tous les chiffres sont exacts, ni que tous les contenus annoncĂ©s sont sensibles.
De quoi parle-t-on ? đœ
Tchap est la messagerie interministĂ©rielle de lâĂtat français.
Elle est utilisĂ©e par des agents publics pour Ă©changer dans un cadre professionnel, au sein dâadministrations, de ministĂšres ou de groupes de travail transversaux.
Elle a Ă©tĂ© pensĂ©e comme une alternative souveraine aux messageries privĂ©es grand public, notamment WhatsApp, Telegram ou Signal, afin dâĂ©viter que des Ă©changes professionnels de lâadministration française transitent par des services commerciaux Ă©trangers.
Techniquement, Tchap repose sur Matrix, un protocole de messagerie décentralisée.
Matrix permet Ă plusieurs serveurs de communiquer entre eux, un peu comme le courrier Ă©lectronique : un utilisateur dâun serveur peut Ă©changer avec un utilisateur dâun autre serveur, si la fĂ©dĂ©ration est autorisĂ©e.
Tchap utilise cette logique pour organiser une messagerie rĂ©partie entre plusieurs environnements administratifs. Son interface vient de lâĂ©cosystĂšme Element, le client Matrix le plus connu, adaptĂ© ici aux usages de lâadministration.
Attention â ïž
Si les données revendiquées sont authentiques, cela ne signifie pas automatiquement que le chiffrement de Tchap aurait été cassé.
Cela ne veut pas dire non plus que toute la plateforme aurait été compromise.
Le scĂ©nario avancĂ© ressemble plutĂŽt Ă lâexploitation maximale dâun compte lĂ©gitime. (ce que le cybercriminel revendique)
Autrement dit : lâattaquant ne dit pas avoir âcassĂ© Matrixâ. Il affirme avoir obtenu un compte valide, puis utilisĂ© ce compte pour voir tout ce quâil pouvait voir.
C'est là que le sujet devient intéressant.
Ce que lâacteur affirme avoir exploitĂ© đ
Selon lâauteur de la revendication, lâaccĂšs initial aurait Ă©tĂ© obtenu par ingĂ©nierie sociale sur un compte liĂ© Ă un agent de lâĂducation nationale.
Une fois connecté, il aurait utilisé des fonctionnalités normales de Matrix pour :
đ explorer lâannuaire des utilisateurs
đ rechercher des salons
đ consulter les espaces accessibles
đ remonter lâhistorique des conversations disponibles
đ rĂ©cupĂ©rer les fichiers partagĂ©s dans ces Ă©changes
Dans Matrix, un compte peut voir plusieurs types dâinformations selon la configuration du serveur et des salons :
đ annuaire des utilisateurs
đ salons publics ou semi-publics
đ salons dĂ©jĂ rejoints
đ salons thĂ©matiques
đ espaces transversaux
đ historiques visibles aux nouveaux membres
đ mĂ©dias partagĂ©s
đ mĂ©tadonnĂ©es de terminaux
đ clĂ©s publiques des appareils
Autrement dit, un compte compromis ne donne pas seulement accĂšs Ă âses messages privĂ©sâ.
Il peut aussi devenir une porte dâentrĂ©e vers tout ce que ce compte est autorisĂ© Ă voir.
Pourquoi 600 ou 800 salons seraient accessibles ? đïž
AccĂ©der Ă plusieurs centaines de salons ne veut pas forcĂ©ment dire que lâattaquant aurait forcĂ© lâaccĂšs Ă des conversations privĂ©es.
Sur Matrix, certains salons peuvent ĂȘtre publics, transversaux, thĂ©matiques ou joignables par tout agent authentifiĂ©.
Des noms de salons comme :
đ âOutils collaboratifsâ
đ âDroit pĂ©nal et procĂ©dure pĂ©naleâ
đ âIntelligence artificielleâ
đ âMĂ©decine-santĂ©â
đ âSĂ©curitĂ© civileâ
ressemblent davantage Ă des espaces de discussion communautaires quâĂ des canaux hautement confidentiels.
Mais cela ne rend pas lâincident nĂ©gligeable.
Un salon public interne Ă lâadministration nâest pas un salon public au sens dâInternet. Il peut contenir des Ă©changes professionnels, des documents, des liens de rĂ©union, des noms dâagents, des habitudes de travail, des informations contextuelles et des fichiers dont lâagrĂ©gation devient sensible.
Le problĂšme de lâannuaire đ„
Lâacteur affirme avoir utilisĂ© la fonction de recherche de lâannuaire Matrix pour Ă©numĂ©rer les utilisateurs.
Il aurait interrogĂ© automatiquement la fonction de recherche des comptes pour reconstruire une liste de dizaines de milliers dâagents.
Cette liste contiendrait notamment :
đ noms dâaffichage
đ adresses professionnelles
đ ministĂšres ou organismes de rattachement
đ serveurs dâorigine
đ mĂ©tadonnĂ©es liĂ©es aux comptes et Ă©quipements
Ce type dâĂ©numĂ©ration nâa rien dâimpossible si la recherche nâest pas assez limitĂ©e, pas assez cloisonnĂ©e ou pas assez protĂ©gĂ©e contre les requĂȘtes rĂ©pĂ©tĂ©es.
Ce nâest pas forcĂ©ment un âpiratage profondâ. Cela peut ĂȘtre un abus massif dâune fonctionnalitĂ© lĂ©gitime.
Le sujet des fichiers đ
Le point le plus préoccupant concerne les fichiers.
Lâauteur affirme avoir tĂ©lĂ©chargĂ© plus de 59 000 mĂ©dias et documents, pour environ 13,5 Go.
Dans Matrix, les fichiers partagĂ©s dans les conversations sont rĂ©fĂ©rencĂ©s par des identifiants mĂ©dias. Selon la configuration du serveur, connaĂźtre lâidentifiant ou lâURL dâun fichier peut parfois permettre de le rĂ©cupĂ©rer, ou au minimum faciliter son tĂ©lĂ©chargement via lâAPI mĂ©dia.
Cela ne veut pas forcĂ©ment dire que âtous les fichiers de Tchapâ Ă©taient librement accessibles.
Le scénario le plus vraisemblable est plutÎt celui-ci :
Lâattaquant aurait lu des messages accessibles au compte, extrait les liens ou identifiants de fichiers prĂ©sents dans ces messages, puis tĂ©lĂ©chargĂ© les piĂšces jointes correspondantes.
Si ces messages provenaient de salons inter-administrations, les mĂ©dias pouvaient ĂȘtre hĂ©bergĂ©s sur plusieurs serveurs Tchap.
Les Ă©lĂ©ments sensibles revendiquĂ©s đ§š
Lâacteur affirme Ă©galement avoir trouvĂ© :
đ des liens Zoom
đ des codes Webex
đ des scripts PowerShell
đ des rĂ©fĂ©rences Ă des annuaires internes
đ des identifiants techniques
đ des mentions âDiffusion Restreinteâ
Ces affirmations doivent ĂȘtre prises avec prĂ©caution.
Une mention âDiffusion Restreinteâ dans un message ou un nom de fichier ne prouve pas automatiquement quâun document protĂ©gĂ© a Ă©tĂ© exfiltrĂ©.
Un identifiant trouvĂ© dans un script ne prouve pas non plus quâil est encore actif ou exploitable.
Mais ces éléments montrent un risque classique des messageries internes : les utilisateurs y déposent parfois des informations techniques ou opérationnelles qui ne devraient jamais circuler dans un salon.
Le vrai problĂšme nâest pas forcĂ©ment Matrix đ§
Matrix est un protocole puissant, pensĂ© pour la fĂ©dĂ©ration, lâinteropĂ©rabilitĂ© et le chiffrement.
Mais comme toute infrastructure collaborative, sa sécurité dépend énormément de sa configuration et de sa gouvernance.
Les vraies questions sont donc :
đ qui peut voir lâannuaire ?
đ qui peut rejoindre quels salons ?
đ un nouvel entrant peut-il lire lâhistorique ?
đ les mĂ©dias sont-ils protĂ©gĂ©s par lâappartenance au salon ?
đ les salons publics internes sont-ils auditĂ©s ?
đ les piĂšces jointes sensibles sont-elles contrĂŽlĂ©es ?
đ les secrets techniques sont-ils dĂ©tectĂ©s lorsquâils sont partagĂ©s ?
Le chiffrement de bout en bout ne rĂšgle pas tout đ
Le chiffrement protĂšge contre certains accĂšs techniques non autorisĂ©s, mais il ne protĂšge pas contre un compte lĂ©gitime compromis qui lit ce quâil est autorisĂ© Ă lire.
Si un agent est membre dâun salon, ou si un salon est accessible Ă tous les agents, le chiffrement ne transforme pas ce salon en coffre-fort.
Le risque se déplace alors vers la gestion des droits, des usages et des espaces.
Le vrai problĂšme : non pas une preuve que Tchap serait âcassĂ©â, mais la possibilitĂ© quâun seul compte ait permis de cartographier beaucoup trop de choses.
Quels risques si la revendication est confirmĂ©e ? đš
Si les Ă©lĂ©ments avancĂ©s sont exacts, lâincident serait sĂ©rieux pour plusieurs raisons.
Dâabord, lâĂ©numĂ©ration de plus de 73 000 agents permettrait de construire une base de ciblage trĂšs prĂ©cieuse pour du phishing, de lâusurpation ou de lâingĂ©nierie sociale.
Ensuite, les messages et salons exposés pourraient révéler des habitudes de travail, des interactions entre services, des sujets internes et des informations organisationnelles.
Enfin, les fichiers partagĂ©s peuvent contenir des documents administratifs, des captures, des piĂšces jointes, voire des informations techniques rĂ©utilisables dans dâautres attaques.
Conclusion đ§
Ă ce stade, rien ne permet dâaffirmer que lâintĂ©gralitĂ© de Tchap aurait Ă©tĂ© compromise.
Rien ne démontre non plus un casse du chiffrement Matrix.
Le risque ne vient pas toujours dâun attaquant qui casse la porte.
Parfois, il entre avec un badge valide, puis découvre que beaucoup trop de portes sont restées ouvertes.
https://fuitesinfos.fr/article/2026-06-07-tchap-2
â€ïž3đ1đ1đ€1