Le 7 juin 2026, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) détecte une intrusion sur Tchap, la messagerie sécurisée utilisée par l’ensemble des agents de l’État français. En moins de 48 heures, la DINUM confirme la compromission de 73 467 comptes gouvernementaux. L’attaquant, qui s’identifie sous le pseudonyme “misere”, revendique l’extraction de 643 459 messages, 59 386 fichiers médias et 13,5 Go de données. Ce n’est pas seulement une fuite de données : c’est une démonstration publique que la messagerie officielle des ministères français peut être pénétrée par ingénierie sociale, sans casser un seul algorithme cryptographique.
Tchap : la messagerie des 825 000 agents de l’État
Tchap est le réseau de messagerie instantanée développé par la DINUM (Direction interministérielle du numérique) pour remplacer les outils grand public comme WhatsApp ou Slack dans les administrations publiques. Basé sur le protocole open source Matrix (Element), il offre en théorie un chiffrement de bout en bout pour les conversations privées entre agents. La plateforme compte plus de 825 000 agents inscrits au moment de l’incident, répartis dans l’ensemble des ministères, préfectures, établissements publics et services déconcentrés de l’État.
Lancé en 2019, Tchap a été conçu pour répondre à une exigence de souveraineté numérique : éviter que des communications gouvernementales sensibles ne transitent par des serveurs américains soumis au Cloud Act. Le protocole Matrix garantit la fédération des serveurs et une architecture décentralisée. En pratique, l’État français opère plusieurs shards (partitions de serveur) spécialisés par secteur : éducation, santé, intérieur, défense, et autres administrations. Chaque shard héberge ses propres salons de discussion et ses propres utilisateurs.
Ce modèle de déploiement présente une particularité peu connue du grand public : si les conversations privées entre deux agents sont chiffrées de bout en bout, les salons publics ouverts à tous les utilisateurs de la plateforme ne le sont pas. Ce choix architectural, justifié par des impératifs de modération et de recherche de contenu, constitue précisément la surface d’attaque exploitée en juin 2026. Quiconque obtient un accès légitime à un compte Tchap peut lire l’intégralité des échanges dans ces salons ouverts, y compris l’historique antérieur à sa propre inscription.
Chronologie : 7 au 9 juin 2026, 48 heures de crise institutionnelle
L’incident se déroule en trois phases distinctes. La première phase commence avant le 7 juin : l’attaquant “misere” obtient par ingénierie sociale les identifiants d’un agent de l’Éducation nationale disposant d’un compte sur le shard matrix.agent.education.tchap.gouv.fr. La méthode précise n’a pas été rendue publique par les autorités, mais les déclarations de l’attaquant pointent vers un phishing ciblé (spear phishing) contre un profil à faible vigilance sécuritaire.
Le 7 juin 2026, l’ANSSI détecte une activité anormale liée à ce compte compromis. Les outils de surveillance en temps réel de l’agence signalent un volume inhabituellement élevé de requêtes API provenant d’une adresse IP suspecte. La DINUM est immédiatement informée. L’analyse forensique commence dans les heures qui suivent. Le compte malveillant est identifié et bloqué le même jour.
Le 8 juin 2026, la DINUM publie une communication officielle. L’organisme confirme l’incident, précise que les conversations privées chiffrées de bout en bout n’ont pas été affectées, et annonce que l’accès persistant de l’attaquant a été supprimé. La déclaration officielle indique : “Le compte à l’origine des requêtes malveillantes a été identifié. Il a été immédiatement bloqué afin de supprimer l’accès persistant de l’attaquant et de permettre une analyse approfondie de ce qui a pu être consulté.”
Le 9 juin 2026, la DINUM notifie la CNIL conformément aux obligations du RGPD, qui imposent une déclaration dans les 72 heures suivant la découverte d’une violation de données personnelles. L’investigation reste ouverte. Pendant ce temps, l’attaquant “misere” publie ses revendications sur des forums spécialisés, incluant des captures d’écran et des exemples de données obtenues pour crédibiliser ses affirmations.
73 467 comptes compromis : ce que l’attaquant revendique
Les chiffres avancés par “misere” sont précis et cohérents entre eux, ce qui leur confère une crédibilité partielle, même si les autorités ne les ont pas tous confirmés officiellement. La DINUM reconnaît que 73 467 utilisateurs ont été affectés, soit moins de 9 % des 825 000 agents inscrits. Ce chiffre correspond exactement à la revendication de l’attaquant, ce qui suggère qu’il provient bien d’une extraction réelle de la base de données utilisateurs accessible depuis le compte compromis.
Au-delà des comptes, l’attaquant revendique 643 459 messages extraits depuis les salons publics auxquels le compte avait accès. Ces messages concernent potentiellement 876 salons de discussion impliquant plusieurs ministères. Les métadonnées associées incluent les identités des expéditeurs, les horodatages, les organisations d’appartenance et les liens de réunion partagés. La valeur de ces informations pour un acteur malveillant n’est pas tant dans le contenu individuel des messages que dans la cartographie des réseaux humains au sein de l’administration française.
L’attaquant revendique également 59 386 fichiers médias pour un volume total de 13,5 Go. Ces fichiers comprennent des images, des documents partagés et des pièces jointes diverses échangés dans les salons publics. La DINUM a contesté l’ampleur de cette exfiltration, affirmant que seules les données accessibles via le compte compromis ont pu être atteintes. Point particulièrement sensible : l’attaquant prétend avoir eu accès à des documents classés “Diffusion Restreinte”, le premier niveau de classification de l’information en France. Cette affirmation n’a pas été confirmée ni infirmée publiquement par les autorités.
| Indicateur | Déclaration DINUM | Revendication “misere” | Statut |
|---|---|---|---|
| Agents Tchap inscrits | 825 000+ | 825 000+ | Confirmé |
| Comptes affectés | 73 467 (< 9 %) | 73 467 | Confirmé |
| Messages extraits | Non précisé | 643 459 | Non vérifié |
| Salons de discussion | Non précisé | 876 | Non vérifié |
| Fichiers médias volés | Non précisé | 59 386 | Non vérifié |
| Volume total exfiltré | Non précisé | 13,5 Go | Non vérifié |
| Documents “Diffusion Restreinte” | Non confirmé | Revendiqué | Contesté |
| Conversations privées E2E | Non affectées | Non revendiqué | Confirmé |
“misere” : profil d’un attaquant inconnu des bases de données mondiales
SecurityWeek confirme qu’aucun historique public n’existe pour un acteur de menace portant l’alias “misere”. Ce profil absent des bases de données des principaux cabinets de cybersécurité (CrowdStrike, Recorded Future, Sekoia.io) oriente les hypothèses dans deux directions : soit un acteur opportuniste débutant sa carrière criminelle publique, soit un groupe structuré testant une nouvelle identité pour brouiller les pistes d’attribution. L’analyse technique de l’attaque penche vers la seconde hypothèse.
L’ingénierie sociale ciblant spécifiquement le shard éducation révèle une préparation préalable. Ce secteur regroupe des enseignants et personnels administratifs statistiquement moins exposés aux protocoles de sécurité que les agents des ministères régaliens (Intérieur, Défense, Affaires étrangères). La sélection de cette cible initiale indique une reconnaissance préalable de l’architecture Tchap et une compréhension de la hiérarchie des risques par périmètre. Les attaques opportunistes visent rarement des vecteurs d’entrée aussi précis.
Les analystes de Sekoia.io, spécialiste français du renseignement sur les menaces, ont noté dans leurs analyses de juin 2026 que la technique d’extraction de médias revendiquée par l’attaquant, basée sur l’énumération des identifiants médias accessibles via l’API Matrix, est connue mais rarement exploitée à cette échelle dans des environnements gouvernementaux. Selon leurs équipes, “la capacité à extraire 13 Go de données depuis un seul compte compromis pointe vers une maîtrise approfondie de l’API Matrix et une automatisation du processus d’exfiltration, ce qui ne correspond pas au profil type d’un attaquant isolé.”
L’absence de rançon exigée ou de revente immédiate des données sur les marchés criminels connus ajoute une dimension supplémentaire à l’analyse. Contrairement aux groupes ransomware classiques ou aux courtiers en données comme ShinyHunters, “misere” semble davantage orienté vers la démonstration publique de la vulnérabilité que vers le gain financier immédiat. Ce comportement correspond soit à un acteur étatique cherchant à déstabiliser l’image de la souveraineté numérique française, soit à un chercheur en sécurité opérant hors des cadres légaux du bug bounty.
La faille architecturale : des salons publics sans chiffrement de bout en bout
Le cœur technique de cet incident ne réside pas dans une vulnérabilité logicielle de Tchap mais dans un choix architectural délibéré : les salons publics ne sont pas chiffrés de bout en bout. Cette décision, documentée publiquement dans les spécifications techniques de Tchap, existe pour permettre la recherche de contenu, la modération des échanges et l’archivage réglementaire des communications administratives. Elle est cohérente avec les pratiques de nombreuses entreprises utilisant des outils comme Slack ou Microsoft Teams.
Sur le protocole Matrix, un salon non chiffré stocke ses messages en clair sur le serveur hébergeant le shard correspondant. Tout compte authentifié et membre du salon peut accéder à l’historique complet des échanges, y compris les messages antérieurs à son adhésion si les paramètres de confidentialité du salon l’autorisent. Un compte compromis disposant d’accès à 876 salons publics peut donc extraire l’historique complet de ces salons via les APIs Matrix standard, sans déclencher d’alertes sur des opérations cryptographiques anormales. C’est précisément ce scénario qui s’est produit.
Vincent Strubel, directeur général de l’ANSSI, a rappelé dans des communications récentes que “la souveraineté numérique ne se réduit pas au choix du protocole ou du fournisseur : elle exige une hygiène opérationnelle rigoureuse à chaque nœud de la chaîne, y compris sur les comptes individuels des agents.” Cette déclaration prend une résonance particulière dans le contexte de l’incident Tchap, où c’est précisément la compromission d’un compte individuel qui a permis l’accès au shard entier.
La question du chiffrement des salons publics va au-delà de Tchap. Sur Slack, Microsoft Teams, Google Chat et même sur les déploiements Matrix d’entreprise, les administrateurs font face au même arbitrage : chiffrement de bout en bout strict (incompatible avec la modération automatique et la recherche) ou chiffrement au repos avec accès serveur (compatible avec les outils d’entreprise mais vulnérable en cas de compromission du serveur ou d’un compte). Tchap a fait le même choix que ses concurrents, mais dans un contexte gouvernemental où les enjeux de confidentialité sont structurellement plus élevés.
Ingénierie sociale : le premier vecteur d’attaque contre les gouvernements en 2026
L’ingénierie sociale reste en 2026 le premier vecteur d’accès initial pour les attaques ciblant les organisations gouvernementales. Selon le rapport Verizon Data Breach Investigations Report 2025, 74 % des violations de données impliquant des organisations publiques ont commencé par un facteur humain : phishing, pretexting ou exploitation de relations de confiance. La sophistication croissante des outils d’IA générative, notamment pour la génération de spear phishing personnalisé ou la synthèse vocale pour le vishing, a réduit le coût et augmenté l’efficacité de ces attaques.
Dans le cas Tchap, l’attaquant a ciblé le shard éducation pour deux raisons probables. Premièrement, le volume d’utilisateurs dans ce shard (enseignants, personnels de rectorat, personnels administratifs) crée une surface d’attaque plus large avec des profils moins entraînés aux procédures de sécurité. Deuxièmement, le shard éducation est fédéré avec les autres shards gouvernementaux, ce qui signifie qu’un compte compromis dans l’éducation peut accéder aux salons publics fédérés incluant des agents d’autres ministères.
Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) a documenté une hausse de 34 % des campagnes de spear phishing ciblant les fonctionnaires entre 2024 et 2025, avec une spécialisation croissante sur les outils de collaboration interne comme Tchap. Les emails usurpant l’identité de la DINUM elle-même ou des services informatiques ministériels constituent le vecteur le plus fréquemment observé. Après l’incident du 7 juin, l’ANSSI a d’ailleurs publié une alerte le 10 juin avertissant les agents de campagnes de phishing secondaires exploitant la notoriété de l’incident.
Réponse institutionnelle : DINUM, ANSSI et CNIL en première ligne
La gestion de crise par les institutions françaises illustre à la fois les progrès de la coordination interministérielle cybersécuritaire et les limites de la communication publique en cas d’incident majeur. La détection par l’ANSSI le 7 juin et la communication publique par la DINUM le 8 juin représentent un délai de moins de 24 heures entre la détection et la notification publique, performance remarquable par rapport aux standards internationaux. Le RGPD impose 72 heures pour notifier la CNIL, délai respecté avec la notification du 9 juin.
La DINUM a choisi une stratégie de communication minimaliste mais factuelle. La déclaration officielle reconnaît l’incident, confirme le nombre d’agents affectés et réaffirme que les conversations privées chiffrées n’ont pas été compromises. Cette approche évite la panique mais laisse plusieurs questions sans réponse : quels ministères étaient représentés dans les 876 salons compromis ? Quels types d’informations circulaient dans ces espaces ? Des données personnelles de citoyens étaient-elles présentes dans les échanges des agents ?
La CNIL, notifiée le 9 juin, dispose de 3 mois pour évaluer si la DINUM a respecté ses obligations RGPD en matière de sécurité des données. L’article 32 du RGPD impose la mise en place de mesures techniques et organisationnelles appropriées pour protéger les données personnelles. Si la CNIL estime que l’absence de chiffrement de bout en bout dans les salons publics constitue une mesure insuffisante pour un traitement de données concernant les agents de l’État, une procédure de sanction pourrait s’ouvrir. La porte-parole de la CNIL a précisé dans un communiqué du 10 juin 2026 : “Toute violation de données personnelles, quelle que soit la qualité du responsable de traitement, public ou privé, fait l’objet d’une évaluation rigoureuse au regard des obligations du RGPD.”
Cette déclaration signale clairement que l’immunité des administrations publiques face aux sanctions de la CNIL n’existe pas, comme l’ont déjà démontré les amendes infligées à la RATP et à plusieurs collectivités territoriales. La CNIL a infligé 487 millions d’euros d’amendes RGPD en 2025, un record qui témoigne de sa volonté de sanctionner sans discrimination sectorielle.
Tchap face à Signal et WhatsApp : quelle messagerie pour les gouvernements ?
L’incident repose la question fondamentale du choix technologique pour les communications gouvernementales. Signal, souvent cité comme la référence en matière de chiffrement de bout en bout, offre une protection cryptographique plus homogène que Tchap, mais au prix d’une fonctionnalité réduite (pas de salons publics non chiffrés, pas d’historique multi-appareils sans dégradation de la sécurité). WhatsApp, malgré son chiffrement E2E basé sur le protocole Signal, est exclu des environnements gouvernementaux français pour des raisons de souveraineté liées à Meta et aux serveurs américains soumis au Cloud Act.
| Critère | Tchap (Matrix) | Signal | Microsoft Teams | |
|---|---|---|---|---|
| Chiffrement E2E (conv. privées) | Oui | Oui (par défaut) | Oui | Non (chiffrement au repos) |
| Chiffrement E2E (salons publics) | Non | N/A | Non (groupes publics) | Non |
| Hébergement souverain possible | Oui (self-hosted FR) | Non (serveurs US) | Non (serveurs Meta) | Partiel (Azure EU) |
| Open source | Oui (Matrix/Element) | Oui | Non | Non |
| Audit de code par tiers | Oui (ANSSI) | Oui (Cure53) | Partiel | Partiel |
| Risque ingénierie sociale | Élevé (démontré 2026) | Élevé (universel) | Élevé (universel) | Élevé (universel) |
| Conformité Cloud Act | Oui (hébergement FR) | Non | Non | Partiel |
| Adapté classification DR | Conditionnel | Non qualifié ANSSI | Non | Non |
La comparaison révèle un point crucial : aucune messagerie grand public ou semi-professionnelle ne résout le problème de l’ingénierie sociale. Signal protège mieux le contenu des messages grâce à son chiffrement systématique, mais un compte Signal compromis donne tout autant accès aux conversations existantes. La vraie différence de Tchap réside dans son architecture fédérée avec des salons non chiffrés, qui multiplie la surface d’exposition par le nombre de salons accessibles depuis un compte compromis.
Implications pour la sécurité des communications d’État en France
L’incident Tchap survient dans un contexte de pression continue sur les infrastructures gouvernementales françaises. En février 2026, des identifiants volés ont permis d’accéder au registre national des comptes bancaires, exposant des données liées à 1,2 million de comptes. En mars 2026, une attaque a ciblé l’infrastructure cloud hébergeant la plateforme Europa de la Commission européenne. La France n’est pas une cible isolée : elle constitue un maillon d’une pression systématique contre les administrations publiques européennes.
Pour la cybersécurité gouvernementale française, l’incident soulève trois impératifs immédiats. Le premier concerne l’authentification forte obligatoire pour tous les accès Tchap. La DINUM devra imposer l’authentification à deux facteurs résistante au phishing (clé de sécurité physique de type FIDO2/WebAuthn) pour l’ensemble des 825 000 agents, et non plus seulement pour les fonctions sensibles. Le deuxième impératif porte sur la révision de l’architecture des salons : le chiffrement des salons sensibles doit devenir la norme par défaut. Le troisième concerne la formation continue des agents aux menaces d’ingénierie sociale.
Didier Goux, expert en cybersécurité gouvernementale et consultant auprès de plusieurs ministères français, souligne que “l’incident Tchap illustre un paradoxe récurrent dans la sécurité des outils souverains : on investit massivement dans la cryptographie et l’hébergement national, puis on laisse la porte d’entrée ouverte au niveau des comptes utilisateurs. La chaîne de sécurité reste aussi solide que son maillon le plus faible, et ce maillon est presque toujours humain.”
L’impact potentiel sur les relations diplomatiques ne doit pas être sous-estimé. Si la revendication d’accès à des salons impliquant plusieurs ministères est confirmée, des échanges couvrant des dossiers de coopération européenne ou de politique économique pourraient avoir été exposés. La France devra informer ses partenaires de l’UE de la nature potentielle des données compromises, une procédure diplomatiquement délicate mais imposée par les obligations de la directive NIS2.
Contexte européen : les messageries gouvernementales sous pression croissante
La France n’est pas le seul État européen à déployer des solutions de messagerie souveraine basées sur Matrix. Les institutions de l’Union européenne utilisent Element (Matrix) pour leurs communications internes depuis 2020. L’Allemagne déploie des solutions Matrix dans certaines administrations fédérales. La Suisse a retenu Signal pour les communications parlementaires les plus sensibles. Chacune de ces solutions présente le même dilemme architectural : la souveraineté du code et de l’hébergement ne garantit pas la sécurité des comptes individuels.
L’opération “Neusploit” documentée par le CSIS en janvier 2026 visait les administrations d’Europe centrale et orientale avec des techniques similaires d’ingénierie sociale sur des outils de collaboration interne. La convergence des méthodes d’attaque entre l’incident Tchap et les opérations documentées contre d’autres gouvernements européens suggère une inspiration commune, voire une coordination entre acteurs malveillants. L’ENISA (Agence de l’Union européenne pour la cybersécurité) a intégré ces incidents dans son rapport de menaces 2026, classant les outils de messagerie gouvernementaux comme cibles prioritaires pour les acteurs de niveau étatique.
La directive NIS2, entrée en vigueur dans tous les États membres en octobre 2024, impose des obligations renforcées de cybersécurité aux entités publiques essentielles, dont les administrations centrales. L’incident Tchap va alimenter les discussions sur l’interprétation de NIS2 pour les outils de communication gouvernementaux, et potentiellement déboucher sur des recommandations techniques contraignantes de l’ENISA concernant les standards minimaux de sécurité des messageries publiques en Europe.
Ce que les 825 000 agents Tchap doivent faire maintenant
Pour les agents inscrits sur Tchap, l’incident impose plusieurs actions immédiates, indépendamment des mesures systémiques que la DINUM va déployer. La première priorité est de changer immédiatement le mot de passe Tchap si celui-ci est identique à un mot de passe utilisé sur d’autres services. L’attaquant ayant obtenu des identifiants par ingénierie sociale, la réutilisation de mots de passe entre Tchap et des services personnels constitue un risque de pivot vers d’autres comptes.
La deuxième action concerne la révision des informations partagées dans les salons publics. Les agents doivent intégrer que tout ce qu’ils publient dans un salon non chiffré est potentiellement accessible depuis n’importe quel compte de la plateforme. Les liens de réunion, les numéros de dossier, les noms de projets sensibles et les coordonnées personnelles ne doivent jamais apparaître dans des salons publics. Pour les échanges sensibles, seules les conversations privées avec chiffrement E2E activé offrent une protection suffisante.
La troisième recommandation porte sur la vigilance accrue face aux emails suspects se réclamant de la DINUM dans les semaines suivant l’incident. Les attaquants exploitent systématiquement la notoriété des incidents récents pour lancer des campagnes de phishing secondaires, jouant sur l’inquiétude des agents affectés (“votre compte a été compromis, cliquez ici pour le sécuriser”). L’ANSSI a publié une alerte en ce sens le 10 juin 2026, rappelant que la DINUM ne demande jamais de cliquer sur un lien par email pour réinitialiser un mot de passe Tchap.
5 prédictions pour la sécurité des communications gouvernementales après Tchap
- Obligation d’authentification FIDO2 pour Tchap avant fin 2026. La DINUM va imposer des clés de sécurité physiques pour les comptes disposant d’accès à des salons ministériels sensibles. L’ANSSI recommande cette approche pour les systèmes d’information sensibles depuis son guide d’authentification 2024 et l’incident va accélérer son déploiement.
- Audit de l’architecture Matrix des shards gouvernementaux par l’ANSSI avant septembre 2026. La fédération entre shards sera revue pour cloisonner davantage les accès entre secteurs. Le shard éducation sera probablement isolé des salons fédérés impliquant les ministères régaliens.
- Campagne de simulation de phishing pour les 825 000 agents Tchap au T3 2026. La DINUM déploiera des tests de phishing ciblés sur les scénarios d’usurpation d’identité DINUM pour évaluer et améliorer la vigilance des agents.
- Enquête CNIL formellement ouverte avant juillet 2026. La notification du 9 juin déclenche automatiquement une évaluation. Si la CNIL conclut à une insuffisance des mesures de sécurité, l’État français pourrait faire face à une procédure de sanction sur un traitement qu’il opère lui-même, un précédent juridique inédit.
- Recommandations ENISA contraignantes sur les messageries gouvernementales publiées avant fin 2026. L’accumulation d’incidents sur les outils de collaboration publics va accélérer la publication d’un cadre de référence ENISA imposant des exigences minimales de chiffrement, d’authentification et de segmentation des accès pour tous les États membres.
Questions fréquentes sur le piratage Tchap
Mes messages privés sur Tchap ont-ils été compromis ?
Non, selon la DINUM. Les conversations privées entre agents utilisant le chiffrement de bout en bout n’ont pas été affectées par l’incident. L’attaquant a uniquement eu accès aux données accessibles depuis le compte compromis, soit les salons publics non chiffrés. Si vous communiquez exclusivement en privé avec chiffrement E2E activé sur Tchap, vos messages n’ont pas été exposés.
Tchap est-il encore sûr à utiliser après cet incident ?
Tchap reste un outil valable pour les communications gouvernementales à condition d’utiliser exclusivement les conversations privées chiffrées pour tout échange sensible. L’incident a exposé une faiblesse au niveau des comptes individuels et des salons publics, pas une faille cryptographique dans le protocole Matrix. La DINUM a bloqué l’accès malveillant et des mesures de renforcement de l’authentification sont attendues dans les prochaines semaines.
Qu’est-ce qu’un shard Tchap et pourquoi cela compte ?
Un shard est une partition de serveur Matrix dédiée à un secteur spécifique de l’administration (éducation, santé, intérieur, etc.). La fédération entre shards permet aux agents de différents secteurs de communiquer dans des salons communs. L’incident a montré qu’un compte compromis sur le shard éducation pouvait accéder à des salons publics fédérés impliquant d’autres ministères, ce qui sera probablement la cible principale du prochain audit architectural de l’ANSSI.
Comment l’attaquant a-t-il obtenu les identifiants Tchap ?
L’attaquant “misere” revendique une attaque par ingénierie sociale, probablement du spear phishing ciblé contre un agent de l’Éducation nationale. La DINUM n’a pas confirmé la méthode exacte en attendant les résultats de l’investigation. L’ingénierie sociale reste le vecteur d’attaque initial le plus courant pour les systèmes gouvernementaux en 2026, représentant 74 % des violations documentées selon le Verizon DBIR 2025.
Des documents classifiés ont-ils été volés lors du piratage Tchap ?
L’attaquant revendique l’accès à des documents classés “Diffusion Restreinte”, le premier niveau de la classification française (non-confidentiel mais à diffusion limitée). La DINUM n’a ni confirmé ni infirmé cette affirmation. Les documents véritablement classifiés (Confidentiel Défense, Secret Défense) ne transitent pas par Tchap mais par des réseaux dédiés à air gap. L’enjeu réel concerne les échanges administratifs ordinaires qui peuvent révéler des informations opérationnelles sans être formellement classifiés.
La CNIL peut-elle sanctionner l’État français pour cet incident ?
Oui. La CNIL a le pouvoir de sanctionner les administrations publiques pour manquement au RGPD, y compris l’État lui-même en tant que responsable de traitement. La DINUM a correctement notifié la CNIL dans les 72 heures réglementaires. La question centrale sera de savoir si l’absence de chiffrement E2E dans les salons publics constitue un manquement à l’article 32 du RGPD sur les mesures techniques appropriées. La CNIL dispose de 3 mois pour se prononcer sur la suite à donner à cette notification.
Quelle est la différence entre Tchap et Signal pour la sécurité gouvernementale ?
Signal chiffre tous les messages de bout en bout par défaut, sans exception. Tchap chiffre les conversations privées mais laisse les salons publics non chiffrés pour des raisons de fonctionnalité administrative. Signal est hébergé sur des serveurs américains, ce qui le disqualifie pour les communications gouvernementales françaises au titre de la souveraineté numérique et du Cloud Act. Tchap, hébergé en France sur des serveurs de l’État, offre la souveraineté mais un chiffrement moins homogène. Les deux restent vulnérables à l’ingénierie sociale si la gestion des comptes est déficiente.
