🔴Un cybercriminel affirme avoir obtenu l’accès à un compte valide sur Tchap, la messagerie sécurisée de l’administration française.
Quelques explications 🧵
À partir de ce compte, il prétend avoir pu collecter :
👉 73 467 comptes d’agents publics
👉 643 459 messages
👉 876 salons avec historique accessible
👉 plus de 59 000 fichiers
👉 environ 13,5 Go de données
👉 des métadonnées liées aux comptes, aux salons et aux terminaux
À ce stade, prudence : il s’agit d’une revendication. Rien ne permet encore d’affirmer que tous les chiffres sont exacts, ni que tous les contenus annoncés sont sensibles.
De quoi parle-t-on ? 🔽
Tchap est la messagerie interministérielle de l’État français.
Elle est utilisée par des agents publics pour échanger dans un cadre professionnel, au sein d’administrations, de ministères ou de groupes de travail transversaux.
Elle a été pensée comme une alternative souveraine aux messageries privées grand public, notamment WhatsApp, Telegram ou Signal, afin d’éviter que des échanges professionnels de l’administration française transitent par des services commerciaux étrangers.
Techniquement, Tchap repose sur Matrix, un protocole de messagerie décentralisée.
Matrix permet à plusieurs serveurs de communiquer entre eux, un peu comme le courrier électronique : un utilisateur d’un serveur peut échanger avec un utilisateur d’un autre serveur, si la fédération est autorisée.
Tchap utilise cette logique pour organiser une messagerie répartie entre plusieurs environnements administratifs. Son interface vient de l’écosystème Element, le client Matrix le plus connu, adapté ici aux usages de l’administration.
Attention ⚠️
Si les données revendiquées sont authentiques, cela ne signifie pas automatiquement que le chiffrement de Tchap aurait été cassé.
Cela ne veut pas dire non plus que toute la plateforme aurait été compromise.
Le scénario avancé ressemble plutôt à l’exploitation maximale d’un compte légitime. (ce que le cybercriminel revendique)
Autrement dit : l’attaquant ne dit pas avoir “cassé Matrix”. Il affirme avoir obtenu un compte valide, puis utilisé ce compte pour voir tout ce qu’il pouvait voir.
C'est là que le sujet devient intéressant.
Ce que l’acteur affirme avoir exploité 🔎
Selon l’auteur de la revendication, l’accès initial aurait été obtenu par ingénierie sociale sur un compte lié à un agent de l’Éducation nationale.
Une fois connecté, il aurait utilisé des fonctionnalités normales de Matrix pour :
👉 explorer l’annuaire des utilisateurs
👉 rechercher des salons
👉 consulter les espaces accessibles
👉 remonter l’historique des conversations disponibles
👉 récupérer les fichiers partagés dans ces échanges
Dans Matrix, un compte peut voir plusieurs types d’informations selon la configuration du serveur et des salons :
👉 annuaire des utilisateurs
👉 salons publics ou semi-publics
👉 salons déjà rejoints
👉 salons thématiques
👉 espaces transversaux
👉 historiques visibles aux nouveaux membres
👉 médias partagés
👉 métadonnées de terminaux
👉 clés publiques des appareils
Autrement dit, un compte compromis ne donne pas seulement accès à “ses messages privés”.
Il peut aussi devenir une porte d’entrée vers tout ce que ce compte est autorisé à voir.
Pourquoi 600 ou 800 salons seraient accessibles ? 🏛️
Accéder à plusieurs centaines de salons ne veut pas forcément dire que l’attaquant aurait forcé l’accès à des conversations privées.
Sur Matrix, certains salons peuvent être publics, transversaux, thématiques ou joignables par tout agent authentifié.
Des noms de salons comme :
👉 “Outils collaboratifs”
👉 “Droit pénal et procédure pénale”
👉 “Intelligence artificielle”
👉 “Médecine-santé”
👉 “Sécurité civile”
ressemblent davantage à des espaces de discussion communautaires qu’à des canaux hautement confidentiels.
Mais cela ne rend pas l’incident négligeable.
Un salon public interne à l’administration n’est pas un salon public au sens d’Internet. Il peut contenir des échanges professionnels, des documents, des liens de réunion, des noms d’agents, des habitudes de travail, des informations contextuelles et des fichiers dont l’agrégation devient sensible.
Le problème de l’annuaire 👥
L’acteur affirme avoir utilisé la fonction de recherche de l’annuaire Matrix pour énumérer les utilisateurs.
Il aurait interrogé automatiquement la fonction de recherche des comptes pour reconstruire une liste de dizaines de milliers d’agents.
Cette liste contiendrait notamment :
👉 noms d’affichage
👉 adresses professionnelles
👉 ministères ou organismes de rattachement
👉 serveurs d’origine
👉 métadonnées liées aux comptes et équipements
Ce type d’énumération n’a rien d’impossible si la recherche n’est pas assez limitée, pas assez cloisonnée ou pas assez protégée contre les requêtes répétées.
Ce n’est pas forcément un “piratage profond”. Cela peut être un abus massif d’une fonctionnalité légitime.
Le sujet des fichiers 📁
Le point le plus préoccupant concerne les fichiers.
L’auteur affirme avoir téléchargé plus de 59 000 médias et documents, pour environ 13,5 Go.
Dans Matrix, les fichiers partagés dans les conversations sont référencés par des identifiants médias. Selon la configuration du serveur, connaître l’identifiant ou l’URL d’un fichier peut parfois permettre de le récupérer, ou au minimum faciliter son téléchargement via l’API média.
Cela ne veut pas forcément dire que “tous les fichiers de Tchap” étaient librement accessibles.
Le scénario le plus vraisemblable est plutôt celui-ci :
L’attaquant aurait lu des messages accessibles au compte, extrait les liens ou identifiants de fichiers présents dans ces messages, puis téléchargé les pièces jointes correspondantes.
Si ces messages provenaient de salons inter-administrations, les médias pouvaient être hébergés sur plusieurs serveurs Tchap.
Les éléments sensibles revendiqués 🧨
L’acteur affirme également avoir trouvé :
👉 des liens Zoom
👉 des codes Webex
👉 des scripts PowerShell
👉 des références à des annuaires internes
👉 des identifiants techniques
👉 des mentions “Diffusion Restreinte”
Ces affirmations doivent être prises avec précaution.
Une mention “Diffusion Restreinte” dans un message ou un nom de fichier ne prouve pas automatiquement qu’un document protégé a été exfiltré.
Un identifiant trouvé dans un script ne prouve pas non plus qu’il est encore actif ou exploitable.
Mais ces éléments montrent un risque classique des messageries internes : les utilisateurs y déposent parfois des informations techniques ou opérationnelles qui ne devraient jamais circuler dans un salon.
Le vrai problème n’est pas forcément Matrix 🧠
Matrix est un protocole puissant, pensé pour la fédération, l’interopérabilité et le chiffrement.
Mais comme toute infrastructure collaborative, sa sécurité dépend énormément de sa configuration et de sa gouvernance.
Les vraies questions sont donc :
👉 qui peut voir l’annuaire ?
👉 qui peut rejoindre quels salons ?
👉 un nouvel entrant peut-il lire l’historique ?
👉 les médias sont-ils protégés par l’appartenance au salon ?
👉 les salons publics internes sont-ils audités ?
👉 les pièces jointes sensibles sont-elles contrôlées ?
👉 les secrets techniques sont-ils détectés lorsqu’ils sont partagés ?
Le chiffrement de bout en bout ne règle pas tout 🔐
Le chiffrement protège contre certains accès techniques non autorisés, mais il ne protège pas contre un compte légitime compromis qui lit ce qu’il est autorisé à lire.
Si un agent est membre d’un salon, ou si un salon est accessible à tous les agents, le chiffrement ne transforme pas ce salon en coffre-fort.
Le risque se déplace alors vers la gestion des droits, des usages et des espaces.
Le vrai problème : non pas une preuve que Tchap serait “cassé”, mais la possibilité qu’un seul compte ait permis de cartographier beaucoup trop de choses.
Quels risques si la revendication est confirmée ? 🚨
Si les éléments avancés sont exacts, l’incident serait sérieux pour plusieurs raisons.
D’abord, l’énumération de plus de 73 000 agents permettrait de construire une base de ciblage très précieuse pour du phishing, de l’usurpation ou de l’ingénierie sociale.
Ensuite, les messages et salons exposés pourraient révéler des habitudes de travail, des interactions entre services, des sujets internes et des informations organisationnelles.
Enfin, les fichiers partagés peuvent contenir des documents administratifs, des captures, des pièces jointes, voire des informations techniques réutilisables dans d’autres attaques.
Conclusion 🧭
À ce stade, rien ne permet d’affirmer que l’intégralité de Tchap aurait été compromise.
Rien ne démontre non plus un casse du chiffrement Matrix.
Le risque ne vient pas toujours d’un attaquant qui casse la porte.
Parfois, il entre avec un badge valide, puis découvre que beaucoup trop de portes sont restées ouvertes.
https://fuitesinfos.fr/article/2026-06-07-tchap-2
