Tchap compromis : 73 000 agents de l'État exposés

Une intrusion ciblée sur la messagerie souveraine de l'État français

Le lundi 9 juin 2026, la Direction interministérielle du numérique (DINUM) a officiellement confirmé une compromission de Tchap, la messagerie instantanée déployée à usage exclusif des agents de la fonction publique française. L'incident, détecté le 7 juin 2026, a été stoppé dans la journée, mais l'attaquant avait disposé d'une fenêtre suffisante pour extraire des informations concernant des dizaines de milliers de fonctionnaires et collecter des messages publiés dans les espaces publics de la plateforme.

Tchap est l'outil de messagerie officiel développé par la DINUM depuis 2019. Reposant sur le protocole Matrix et son client open source Element, il a été conçu pour offrir à l'État une alternative souveraine aux messageries grand public comme WhatsApp, Teams ou Slack. Déployé dans l'ensemble des ministères et utilisé quotidiennement par des centaines de milliers d'agents pour coordonner des projets interministériels ou diffuser des informations non classifiées, Tchap est devenu une infrastructure critique de la communication gouvernementale française. Cette position stratégique en fait naturellement une cible prioritaire pour des acteurs malveillants cherchant à cartographier les réseaux humains au sein des administrations.

La méthode d'intrusion décrite par la DINUM et analysée par les équipes de FrenchBreaches combine deux leviers. Le premier est l'ingénierie sociale : l'attaquant a réussi à s'emparer d'un compte légitime lié à un agent de l'Éducation nationale, probablement par phishing ou par exploitation d'identifiants compromis issus d'une fuite antérieure. Le second est l'exploitation de failles de configuration : une fois connecté avec ce compte valide, l'attaquant a utilisé un annuaire utilisateur exposé sans mécanisme de limitation de débit (rate limiting) et des fonctionnalités d'énumération de comptes, lui permettant d'extraire de façon automatisée et systématique les profils des utilisateurs enregistrés sur la plateforme.

Ce type d'attaque — combinant un accès légitime de faible privilège et l'exploitation d'API insuffisamment sécurisées — est caractéristique des techniques référencées dans l'OWASP API Security Top 10. Elle ne requiert aucune vulnérabilité dans le code cryptographique ou le protocole sous-jacent, mais tire profit de lacunes de hardening opérationnel que des audits réguliers auraient pu identifier et corriger. L'attaquant revendique ainsi l'accès aux données de 73 467 comptes d'agents couvrant une période s'étendant au moins de juin 2023 à juin 2026, ainsi qu'à plus de 643 000 messages issus des salons publics de Tchap.

Sur le plan technique, il est essentiel de distinguer deux catégories de données dans l'architecture de Tchap. Les conversations privées entre utilisateurs bénéficient du chiffrement de bout en bout basé sur les protocoles Olm (pour les sessions individuelles) et Megolm (pour les groupes). Ce chiffrement garantit que même en disposant d'un compte compromis, un attaquant ne peut pas rétrospectivement déchiffrer les messages échangés en privé par d'autres utilisateurs. Les clés de déchiffrement sont générées et stockées localement sur les appareils des participants, jamais sur les serveurs. Sur ce point, l'architecture a fonctionné comme prévu.

En revanche, les salons publics de Tchap ne bénéficient pas du chiffrement de bout en bout par nature du protocole Matrix : leurs messages sont lisibles par tout membre du salon, y compris un attaquant disposant d'un compte actif. Les données collectées dans ces espaces peuvent inclure des discussions sur des projets interministériels, des partages de documents non classifiés, des échanges organisationnels ou des informations sur les équipes et leurs responsabilités. À l'échelle de 643 000 messages, le potentiel de renseignement est considérable.

Les métadonnées des comptes exposés — noms, adresses e-mail professionnelles, identifiants Matrix, affiliations ministérielles — représentent elles-mêmes une ressource stratégique. Agrégées sur 73 000 agents issus de l'ensemble des ministères, elles constituent un répertoire complet exploitable pour des campagnes de spear-phishing ultérieures, des opérations d'influence ou des tentatives de compromission d'identité ciblée. Ce type de fuite, dit OSINT-enabling breach, vise moins à voler des secrets immédiats qu'à constituer une base de données enrichie exploitable dans de futures opérations plus ciblées.

La DINUM a déclaré avoir notifié la CNIL dans les délais imposés par le RGPD, qui exige une notification dans les 72 heures suivant la prise de connaissance d'une violation. Une coordination a été établie avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Les mesures correctives incluent le blocage immédiat du compte compromis, le renforcement du rate limiting sur les API d'annuaire et une revue de l'ensemble des mécanismes d'accès à la plateforme. Une communication aux agents concernés est en cours de préparation, conformément aux obligations d'information imposées par l'article 34 du RGPD lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes.

Un incident qui pose des questions structurelles sur la sécurité des outils souverains

Cet incident dépasse la simple mésaventure de sécurité pour soulever une question structurelle : les outils numériques souverains développés par l'État sont-ils soumis aux mêmes rigueurs de sécurité que leurs équivalents commerciaux ? Tchap bénéficie d'une forte exposition institutionnelle et porte les ambitions de la France en matière d'autonomie numérique. La présence d'une API d'annuaire sans rate limiting dans une infrastructure de cette criticité suggère que les audits de sécurité offensifs n'ont pas été appliqués avec la rigueur attendue, ou que leurs résultats n'ont pas été traduits en corrections rapides.

Le vecteur d'entrée — l'ingénierie sociale ciblant un compte de l'Éducation nationale — illustre un risque systémique dans les grandes administrations. La surface d'attaque humaine est immense : avec des centaines de milliers d'agents accédant à Tchap depuis des postes hétérogènes et des niveaux de maturité sécurité très variables selon les ministères, le risque de compromission d'identité par phishing ou credential stuffing est structurellement élevé. La multiplication des formations de sensibilisation reste un levier indispensable, mais insuffisant face à des attaquants dont les techniques d'ingénierie sociale sont de plus en plus sophistiquées, parfois assistées par des outils d'IA générative pour personnaliser les leurres à grande échelle.

Sur le plan réglementaire, cet incident sera scruté par la CNIL. La jurisprudence récente montre que l'autorité n'hésite plus à sanctionner les administrations. La violation potentielle des données de 73 000 agents, dont certains travaillent sur des sujets sensibles, place la DINUM face à des obligations d'information et de remédiation exigeantes. La réponse apportée sera analysée comme un signal de la maturité des pratiques de gestion des incidents dans les administrations centrales, notamment à l'aune des exigences de la directive NIS2 transposée en droit français, qui impose des obligations renforcées de déclaration et de remédiation aux opérateurs de services essentiels.

Enfin, le contexte géopolitique amplifie la portée de l'incident. La France est depuis plusieurs années une cible prioritaire pour des acteurs étatiques adverses dans le cadre d'opérations de cyber-espionnage visant les institutions gouvernementales, les centres de recherche et les entreprises stratégiques. La compromission d'un outil de communication utilisé par l'ensemble des ministères s'inscrit dans le schéma classique des opérations de pré-positionnement renseignement, visant à cartographier les réseaux humains avant de lancer des opérations plus ciblées. L'attribution reste à ce stade inconnue, mais la DINUM et l'ANSSI disposent des capacités forensiques pour analyser les traces laissées par l'attaquant.

Ce qu'il faut retenir

• 73 467 comptes d'agents de l'État français exposés via un compte compromis par ingénierie sociale ; les conversations privées chiffrées sont restées protégées grâce aux protocoles Olm/Megolm.
• L'absence de rate limiting sur les API d'annuaire a permis l'extraction automatisée des profils — une faille de configuration, pas une faille cryptographique du protocole Matrix.
• Les organisations doivent auditer systématiquement leurs API d'annuaire, appliquer la limitation de débit et former en continu leurs agents à la détection du phishing ciblé.