L’État français vient d’essuyer un revers sévère dans sa stratégie de souveraineté numérique. Tchap, la messagerie instantanée chiffrée déployée dans l’ensemble de l’administration depuis septembre 2025, a été compromise par un cybercriminel qui revendique l’exfiltration de 13 gigaoctets de données, incluant 643 000 messages échangés par 73 000 agents publics au sein de 976 salons de discussion.
L’intrusion, détectée le 7 juin par l’Agence nationale de la sécurité des systèmes d’information (Anssi), expose les vulnérabilités persistantes des infrastructures numériques gouvernementales. La Direction interministérielle du numérique (Dinum) a confirmé qu’un « incident de sécurité » résultant d’une « usurpation de compte » avait effectivement touché la plateforme. L’attaquant, utilisant le pseudonyme « Misere », a exploité les failles architecturales de cette solution pourtant conçue pour sécuriser les communications sensibles de l’État.
L’ingénierie sociale, talon d’Achille de la messagerie d’État
L’investigation révèle une attaque par ingénierie sociale d’une redoutable efficacité. Le cybercriminel a d’abord créé un compte valide sur le serveur dédié à l’Éducation nationale, exploitant les vulnérabilités humaines pour obtenir des identifiants légitimes. Cette technique, qui contourne les protections techniques par la manipulation psychologique, lui a permis d’accéder aux fonctionnalités de Tchap sans déclencher d’alertes immédiates.
Une fois infiltré, l’attaquant s’est concentré sur les « salons publics », ces espaces de discussion non chiffrés accessibles à tous les utilisateurs authentifiés. Cette dualité architecturale, qui distingue les conversations privées chiffrées de bout en bout des salons publics non protégés, s’avère aujourd’hui problématique. Parmi les données compromises, le pirate signale avoir identifié 90 mentions de la classification « Diffusion restreinte », soulevant des interrogations sur la nature des informations potentiellement exposées.
La compromission s’est étalée sur plusieurs jours avant sa détection dominicale. Le compte malveillant a été « immédiatement bloqué pour supprimer l’accès persistant de l’attaquant », précise la Dinum, qui mène désormais l’analyse forensique des journaux d’événements pour déterminer le périmètre exact de l’incident.
Un paradoxe sécuritaire pour la souveraineté numérique française
Développée par la Dinum, Tchap constitue depuis septembre 2025 la solution de messagerie officielle imposée à l’ensemble des ministères et cabinets gouvernementaux. Cette généralisation répondait explicitement au « risque croissant d’interception des communications » et visait à remplacer les applications grand public comme WhatsApp ou Telegram, jugées insuffisamment sécurisées. Actuellement déployée auprès de 300 000 agents publics, cette plateforme repose sur le protocole Matrix et incarnait l’ambition française d’affranchir l’administration des solutions étrangères.
L’ironie est cruelle : l’outil destiné à renforcer la sécurité devient lui-même vecteur de vulnérabilité. Cette situation questionne fondamentalement l’approche française en matière de souveraineté numérique, rappelant que celle-ci ne se décrète pas mais se construit par une vigilance constante. Les alertes récurrentes de la DGSI sur l’espionnage par des logiciels étrangers prennent une résonance particulière dans ce contexte.
Des répercussions institutionnelles majeures
Les conséquences dépassent largement le cadre technique. La compromission de 976 salons de discussion expose potentiellement des échanges portant sur la coordination interministérielle, la gestion de crise ou les projets sensibles. L’incident a été notifié à la Commission nationale de l’informatique et des libertés (Cnil), déclenchant automatiquement une procédure d’investigation qui pourrait déboucher sur des sanctions administratives.
Cette cyberattaque s’inscrit dans une série d’incidents touchant récemment l’État français. En décembre 2025, le ministère de l’Intérieur avait subi une intrusion similaire par usurpation de compte. Plus récemment, l’Agence nationale des titres sécurisés (ANTS) a également été victime d’une fuite de données en avril 2026, poussant le Premier ministre à lancer un nouveau « plan d’action » cyber.
Ces incidents révèlent les défaillances persistantes dans la cybersécurité des infrastructures publiques françaises. Malgré les efforts de souveraineté numérique comme la migration vers Linux, la multiplication des vecteurs d’attaque et l’sophistication croissante des techniques d’ingénierie sociale continuent de mettre à rude épreuve les dispositifs de protection.
Vers une refonte des protocoles de sécurité gouvernementaux
Au-delà de la gestion immédiate de crise, cet incident impose une réévaluation des protocoles de sécurité appliqués aux messageries gouvernementales. La coexistence de modes chiffrés et non chiffrés au sein d’une même plateforme crée manifestement une confusion préjudiciable à la sécurité opérationnelle. La Dinum a d’ailleurs rappelé à ses utilisateurs qu’« aucune information personnelle, sensible ou couverte par le secret professionnel ne doit être échangée sur les salons publics », témoignant d’une sensibilisation insuffisante des agents.
Les investigations en cours devront déterminer si des informations classifiées ont effectivement été compromises parmi les échanges mentionnant la « Diffusion restreinte ». Cette analyse conditionnera l’ampleur des mesures correctives à déployer et l’éventuelle révision des habilitations des agents concernés.
L’incident Tchap illustre également les limites de l’approche purement technologique en cybersécurité. Aucun chiffrement, aussi robuste soit-il, ne peut compenser les vulnérabilités humaines exploitées par l’ingénierie sociale. Cette réalité impose un renforcement substantiel de la formation et de la sensibilisation des agents publics aux risques cybernétiques, dans un contexte géopolitique où les infrastructures numériques nationales constituent des cibles privilégiées.
