Le 7 juin 2026, un hacker inconnu opérant sous l’alias “misere” a compromis Tchap, la messagerie souveraine des fonctionnaires français, en exploitant un seul compte piraté au ministère de l’Éducation nationale. Cinq jours plus tard, la DINUM confirmait que 73 467 agents publics étaient touchés, que 643 459 messages avaient été aspirés depuis 876 salles de discussion publiques et que 13,5 gigaoctets de données avaient été exfiltrés vers un forum du dark web. Aucune rançon n’a été exigée. Aucune arrestation n’a été annoncée. L’enquête de l’ANSSI est en cours.
Tchap : la messagerie que la France a construite pour sa souveraineté numérique
Tchap n’est pas une simple application de messagerie. Lancée en avril 2019 par la Direction interministérielle du numérique (DINUM) en collaboration avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI), elle représente la réponse de l’État français à un problème de souveraineté numérique identifié depuis des années : les fonctionnaires utilisaient WhatsApp, Telegram et Signal, des plateformes soumises à des juridictions étrangères, pour des communications officielles.
Construite sur le protocole Matrix, un standard ouvert et décentralisé, Tchap repose sur l’algorithme Double Ratchet pour le chiffrement de bout en bout (E2E) des conversations privées. Son code source est public. Son hébergement est entièrement opéré sur des serveurs gouvernementaux français. Son utilisation est gratuite pour les agents publics, financée par les fonds publics. En 2024, le gouvernement a rendu son usage obligatoire pour l’ensemble des communications officielles des agents de l’État, remplaçant définitivement les outils grand public.
En juin 2026, Tchap comptait 825 000 utilisateurs inscrits, dont environ 300 000 utilisateurs actifs quotidiens et 230 000 utilisateurs actifs mensuels. La plateforme héberge des agents de tous les ministères : Défense, Finances, Intérieur, Éducation nationale, Premier ministre. Sa compromission, même partielle, constitue un événement d’une gravité rare dans l’histoire de la cybersécurité française. La vérification de sécurité du protocole Matrix utilisé par Tchap avait été réalisée par le cabinet NCC Group, qui avait confirmé la solidité cryptographique de l’implémentation Double Ratchet.
7 juin 2026 : chronologie d’une intrusion en trois actes
Le scénario reconstruit par la DINUM et l’ANSSI suit une logique d’attaque classique mais redoutablement efficace. Dans un premier temps, “misere” a ciblé le shard éducatif de Tchap, hébergé sur le serveur matrix.agent.education.tchap.gouv.fr. L’attaquant a compromis le compte d’un fonctionnaire du ministère de l’Éducation nationale par ingénierie sociale, une technique qui ne nécessite aucun exploit technique sophistiqué mais exploite la psychologie humaine pour obtenir des identifiants d’accès.
Une fois dans le système, “misere” a exploité les droits d’accès propres à ce compte pour naviguer dans les salles de discussion publiques de Tchap. C’est là le point crucial que la DINUM a tenu à préciser dans sa communication : les salles publiques, par conception, ne sont pas chiffrées de bout en bout et sont accessibles à tous les utilisateurs inscrits. L’attaquant n’a pas cassé le chiffrement. Il a simplement utilisé un compte légitime pour lire ce que n’importe quel fonctionnaire inscrit aurait pu lire.
Le 7 juin au soir, l’ANSSI détecte l’intrusion et alerte la DINUM. Le compte compromis est bloqué dans les heures qui suivent. Le lendemain, 8 juin, la DINUM publie un premier communiqué, volontairement laconique sur les chiffres, confirmant seulement qu’une compromission a eu lieu et que des investigations sont en cours. Le 12 juin, après analyse approfondie des journaux d’événements, la DINUM publie un bilan détaillé : 73 467 comptes affectés, soit moins de 9 % des 825 000 inscrits. C’est à cette date également que “misere” publie sur un forum du dark web un échantillon des données volées, revendiquant 13,5 Go de contenu.
13,5 gigaoctets de données : l’inventaire complet de ce que “misere” a volé
Les chiffres publiés par “misere” sur un forum du dark web constituent le tableau le plus complet disponible à ce stade, la DINUM n’ayant ni confirmé ni contesté dans leur intégralité les volumes annoncés par l’attaquant. Ce qui est établi avec certitude par les deux parties :
- 73 467 comptes d’agents publics touchés : noms, prénoms, adresses e-mail professionnelles, entité d’appartenance (ministère ou administration concernée), avatar de profil
- 643 459 messages extraits de 876 salles de discussion publiques
- 59 386 fichiers multimédias partagés par des fonctionnaires dans ces salles (documents, images, pièces jointes)
- 13,5 Go de données au total exfiltrés vers des serveurs contrôlés par l’attaquant
- Environ 90 documents portant la mention “Diffusion Restreinte” couvrant la période juin 2023 à juin 2026
- Des identifiants LDAP codés en dur découverts dans un script PowerShell présent dans les données exfiltrées
La DINUM a confirmé les catégories de données personnelles exposées (nom, prénom, e-mail, entité, avatar) et la réalité de l’accès aux salles publiques. Elle n’a ni confirmé ni infirmé les chiffres précis des messages et fichiers volés, renvoyant à la poursuite de l’analyse forensique. Les données de connexion (mots de passe) ne sont pas stockées en clair dans l’architecture Matrix et n’ont pas été compromises. Les ministères les plus représentés dans les salles publiques accessibles incluent le ministère des Finances, le ministère de la Défense et les services du Premier ministre, selon les informations publiées par l’attaquant.
Les identifiants LDAP : la vraie bombe à retardement
L’élément le plus préoccupant pour les experts en cybersécurité n’est pas le volume de données volées, mais la présence d’identifiants LDAP codés en dur dans un script PowerShell inclus dans les données exfiltrées. Le LDAP (Lightweight Directory Access Protocol) est le protocole d’annuaire utilisé dans la quasi-totalité des environnements gouvernementaux pour gérer les identités, les droits d’accès et les ressources réseau. Un accès valide à l’annuaire LDAP d’un ministère peut permettre à un attaquant de cartographier l’ensemble des utilisateurs, leurs droits et les systèmes auxquels ils ont accès.
“La découverte d’identifiants LDAP codés en dur dans des scripts est un problème systémique, pas un incident isolé”, souligne Baptiste Robert, chercheur en cybersécurité spécialisé dans les systèmes d’information gouvernementaux. “Si ces identifiants sont actifs et permettent l’accès à l’annuaire LDAP du ministère de l’Éducation nationale, un attaquant motivé pourrait cartographier l’ensemble de l’infrastructure, identifier des comptes à privilèges et préparer une attaque bien plus dévastatrice que le simple vol de messages.”
La DINUM n’a pas confirmé si ces identifiants avaient été révoqués avant la publication de cet article. La question de la latéralisation potentielle de l’attaque, c’est-à-dire la possibilité pour “misere” ou un tiers d’utiliser ces identifiants pour accéder à d’autres systèmes gouvernementaux, reste ouverte et constitue le risque résiduel le plus sérieux issu de cette brèche.
Les 90 documents “Diffusion Restreinte” : implications pour la sécurité nationale
La classification “Diffusion Restreinte” (DR) est le premier échelon de la protection de l’information en France. Elle s’applique aux informations dont la divulgation pourrait nuire aux intérêts de l’État sans atteindre le niveau “Confidentiel Défense” ou “Secret Défense”. En pratique, des notes de réunion interministérielle, des comptes rendus de projets sensibles ou des communications sur des vulnérabilités non encore divulguées peuvent porter cette mention.
“Même des documents DR peuvent révéler des structures organisationnelles, des calendriers de projets sensibles ou des noms d’agents travaillant sur des dossiers spécifiques”, analyse Marc-Antoine Ledieu, avocat spécialisé en droit du numérique et droit de la défense. “Ce n’est pas le contenu seul qui crée le risque : c’est l’agrégation de métadonnées qui, combinée à d’autres sources de renseignement, peut composer un tableau d’ensemble dangereux pour la sécurité nationale.”
L’ANSSI n’a pas communiqué sur la nature précise des 90 documents identifiés. Les autorités françaises ont simplement confirmé que l’investigation était en cours pour déterminer leur contenu exact et leur sensibilité opérationnelle réelle. Si des informations sur des opérations en cours ou des personnes protégées sont impliquées, une procédure pénale distincte sera ouverte, parallèlement à l’enquête sur l’intrusion elle-même.
Comparaison de sécurité : Tchap face aux grandes messageries
Pour comprendre pourquoi la France a construit Tchap plutôt que d’utiliser les outils existants, et pourquoi cette brèche pose des questions spécifiques à l’architecture choisie, il faut comparer les niveaux de sécurité et les modèles de gouvernance des principales messageries disponibles en 2026.
| Plateforme | Protocole | Chiffrement E2E | Hébergement | Utilisateurs inscrits | Coût annuel |
|---|---|---|---|---|---|
| Tchap | Matrix (Double Ratchet) | Oui (privé), Non (public) | Serveurs DINUM, France | 825 000 | Gratuit (financement public) |
| Signal | Signal Protocol | Oui, toutes conversations | Signal Foundation, États-Unis | 70M+ | Gratuit |
| Signal Protocol | Oui (chats privés et groupes) | Meta (servers US) | 3 milliards | Gratuit | |
| Telegram | MTProto | Oui (chats secrets uniquement) | International (Dubaï) | 950M | Freemium (0 à ~50 €/an) |
| Mattermost | Propriétaire | Optionnel (selon configuration) | Self-hosted ou cloud | 20M+ | 0 à 120 €/utilisateur/an |
| Wire Enterprise | Proteus (Signal dérivé) | Oui, toutes conversations | UE (Suisse) ou self-hosted | ~500 000 | environ 120 €/utilisateur/an |
L’analyse du tableau révèle un paradoxe structurel propre à Tchap : la plateforme offre un niveau de souveraineté de données inégalé parmi les messageries citées, mais sa conception avec des salles publiques non chiffrées crée une surface d’attaque que Signal ou Wire n’ont pas, puisque ces deux outils chiffrent toutes les conversations sans exception. Telegram, à l’inverse, ne chiffre de bout en bout que ses “chats secrets” et stocke en clair les messages des groupes et canaux sur ses serveurs, ce qui est pire que Tchap sur ce point. WhatsApp chiffre correctement ses groupes, mais ses données de métadonnées restent accessibles à Meta, ce qui exclut toute utilisation gouvernementale française.
“misere” : portrait d’un attaquant inconnu
La communauté cybersécurité est dans l’expectative : “misere” est un acteur inconnu, sans historique public d’attaques précédentes. Aucune analyse publiée par BleepingComputer, SecurityWeek ou par les agences de renseignement n’a établi de lien avec un groupe APT (Advanced Persistent Threat) connu, qu’il soit d’origine étatique russe, chinoise, nord-coréenne ou autre.
L’absence de demande de rançon écarte le profil du cybercriminel classique motivé par le gain financier. L’absence de revendication politique exclut, en première analyse, le hacktivisme au sens habituel du terme. La sophistication relative de l’opération (ciblage précis d’un shard éducatif, exfiltration propre sur 13,5 Go, publication organisée des données avec un inventaire détaillé sur le dark web) suggère un niveau de compétence au-dessus de la moyenne des acteurs opportunistes, sans atteindre les caractéristiques d’une opération étatique de grande envergure.
“Le profil de ‘misere’ est atypique : pas de rançon, pas de revendication politique, mais une opération manifestement préparée avec une connaissance précise de l’architecture de Tchap”, analyse Matthieu Suiche, fondateur du COMAE Institute et expert reconnu en cybersécurité. “Cela pourrait correspondre à un acteur cherchant à se faire un nom dans la communauté underground, ou à une opération de collecte de renseignement masquée derrière un profil fictif. L’ANSSI a les moyens techniques et humains d’investiguer ces deux hypothèses en parallèle.”
L’ANSSI n’a fourni aucun élément d’attribution à la date de publication de cet article. L’enquête, qui inclut l’analyse des journaux d’accès de la plateforme Matrix, des traces réseau et des métadonnées des fichiers publiés sur le dark web, est en cours. Les traces numériques laissées dans ce type d’opération, notamment les patterns de requêtes réseau et les métadonnées des archives publiées, constituent des indices exploitables par les équipes spécialisées de l’agence.
Réponse institutionnelle : DINUM, ANSSI et CNIL mobilisées
La gestion de crise a suivi les procédures établies par le cadre réglementaire français avec une réactivité notable. Dès la détection de l’intrusion le 7 juin, l’ANSSI a alerté la DINUM. Dans les heures qui ont suivi, le compte compromis a été bloqué et révoqué, mettant fin à l’accès persistant de l’attaquant. La DINUM a simultanément procédé à l’analyse des journaux d’événements pour délimiter précisément le périmètre de la brèche et identifier l’ensemble des salles et données potentiellement accessibles.
Le 8 juin, la Commission nationale de l’informatique et des libertés (CNIL) a été notifiée conformément à l’article 33 du Règlement général sur la protection des données (RGPD), qui impose aux responsables de traitement de signaler toute violation de données personnelles dans un délai maximal de 72 heures. L’exposition des noms, prénoms, adresses e-mail et affiliations organisationnelles de 73 467 fonctionnaires constitue bien une violation de données à caractère personnel au sens du RGPD, même si ces données sont considérées comme peu sensibles individuellement.
La CNIL dispose de 6 semaines pour décider si elle ouvre une enquête formelle sur la gestion de la brèche par la DINUM. Dans ce type de cas impliquant une administration publique, les sanctions financières sont rares mais les recommandations contraignantes sont fréquentes. La question centrale portera sur la gestion des accès aux comptes utilisateurs (présence ou absence de MFA), la supervision comportementale des sessions (détection d’accès anormaux), et la présence d’identifiants LDAP dans des scripts accessibles à des comptes standards.
Le chiffrement E2E : ce qu’il a protégé, et ce qu’il n’a pas pu protéger
La communication de la DINUM a insisté sur un point clé : “Les conversations privées des agents restent protégées.” Cette affirmation, techniquement exacte, mérite d’être contextualisée. Tchap, comme tout client Matrix, offre le chiffrement de bout en bout uniquement pour les conversations privées. Les salles de discussion publiques, par définition accessibles à tous les inscrits, ne bénéficient pas de ce niveau de protection : leurs messages sont stockés de façon lisible sur les homeservers Matrix administrés par la DINUM.
Concrètement, n’importe quel fonctionnaire disposant d’un compte Tchap valide peut, légitimement, lire le contenu de ces 876 salles publiques. L’attaquant “misere” a effectué cette lecture avec un compte volé, à grande échelle et de façon automatisée, en aspirant 643 459 messages en quelques heures. La cryptographie a fonctionné exactement comme prévu. La faille résidait dans la gestion des identités et des sessions, pas dans l’algorithme de chiffrement lui-même.
“Le chiffrement E2E protège contre l’écoute en transit et l’accès non autorisé aux serveurs. Il ne protège pas contre un compte utilisateur légitime compromis”, rappelle Chloé Messdaghi, directrice de la recherche en sécurité, experte en sécurité des systèmes gouvernementaux. “Les organisations doivent traiter la sécurité des identités (IAM) avec le même sérieux que le chiffrement des données. Ces deux couches de sécurité sont complémentaires : l’une sans l’autre laisse des angles morts critiques.”
Contexte historique : les grandes cyberattaques contre l’État français (2024-2026)
L’attaque contre Tchap s’inscrit dans une série préoccupante d’incidents ciblant l’administration française. Contrairement aux précédents, qui portaient sur des bases de données de citoyens ou de patients, la brèche Tchap cible directement l’infrastructure de communication opérationnelle des fonctionnaires eux-mêmes, ce qui la distingue qualitativement des incidents précédents.
| Date | Cible | Données exposées | Vecteur d’attaque | Personnes affectées |
|---|---|---|---|---|
| Juin 2026 | Tchap (DINUM) – messagerie agents | 73 467 comptes, 643 K messages, 13,5 Go | Ingénierie sociale, compte compromis | 73 467 fonctionnaires |
| Février 2026 | FICOBA (registre national bancaire) | 1,2 million de références de comptes | Identifiants volés, accès Ministry Économie | 1,2 million de citoyens |
| 2025 | France Titres (ANTS) | 11,7 millions de dossiers de titres d’identité | Non divulgué publiquement | 11,7 millions de citoyens |
| 2025 | Système de Santé national (HDS) | 12 000 dossiers patients | Ransomware | 12 000 patients |
| 2024 | Messagerie Ministère des Armées | 5 000 comptes e-mail | Non divulgué publiquement | 5 000 agents de défense |
Ce tableau révèle une accélération notable du rythme des incidents majeurs touchant l’administration française entre 2024 et 2026. La brèche Tchap est la première à exposer simultanément des données de communication inter-agences et des identifiants d’infrastructure (LDAP), créant un risque de propagation qui n’existait pas dans les attaques précédentes concentrées sur des bases de données statiques. Pour aller plus loin sur les incidents récents touchant les données françaises, notre analyse de FICOBA : 1,2 Million de Comptes Bancaires Piratés et celle sur France Titres ANTS : 11,7 Millions de Dossiers Exposés apportent le contexte complet de ces incidents.
Impact sur l’écosystème Matrix et la messagerie souveraine européenne
La brèche Tchap arrive à un moment stratégique pour l’écosystème Matrix. Plusieurs gouvernements européens, dont l’Allemagne avec son BWI Messenger (lui aussi basé sur Matrix), ont adopté ou envisagent d’adopter des solutions de ce type pour leurs communications officielles. La compromission de Tchap par ingénierie sociale n’est pas une défaillance du protocole Matrix en tant que tel, mais elle va alimenter les débats sur la sécurité opérationnelle (OPSEC) des déploiements institutionnels à grande échelle.
“Ce qui s’est passé avec Tchap aurait pu se produire avec n’importe quelle messagerie d’entreprise : Slack, Microsoft Teams, Mattermost”, nuance Thomas Rouault, architecte senior en sécurité des systèmes d’information. “La faiblesse n’est pas dans Matrix. Elle est dans la gestion des accès : un compte sans authentification multifacteur (MFA), compromis par ingénierie sociale, donne accès à tout ce à quoi il a accès légitimement. C’est un problème universel qui concerne toutes les organisations, publiques et privées.”
La question du déploiement obligatoire du MFA sur Tchap va désormais occuper le centre du débat public. La DINUM n’a pas communiqué sur la présence ou l’absence de MFA sur le compte compromis. Si l’ingénierie sociale a permis de contourner un MFA existant (par phishing en temps réel, par exemple), le problème est différent et plus grave. L’annonce d’un calendrier de déploiement du MFA résistant au phishing, basé sur des clés FIDO2, est attendue dans les semaines qui viennent. Notre comparaison détaillée des protocoles de messagerie dans notre article Signal vs WhatsApp vs Telegram offre un éclairage complémentaire sur les choix d’architecture.
Au niveau réglementaire européen, la directive NIS 2, qui s’applique depuis octobre 2024 aux administrations publiques et aux infrastructures critiques, impose des obligations de détection et de signalement des incidents dans des délais stricts : 24 heures pour l’alerte préliminaire, 72 heures pour le rapport détaillé. La réaction de la DINUM et de l’ANSSI dans ce délai semble avoir respecté ces obligations. L’enjeu désormais est celui des mesures correctives et de la démonstration d’une amélioration de la posture de sécurité dans les 3 mois suivant l’incident, comme l’exige NIS 2. Notre analyse du Cyber Resilience Act et celle sur MOVEit CVE-2026-4670 : 3 000 Entreprises en Alerte documentent le cadre réglementaire dans lequel s’inscrit cette brèche.
Cinq prédictions pour les 12 prochains mois
Sur la base des éléments disponibles au 21 juin 2026, cinq évolutions paraissent inévitables à court et moyen terme.
1. Déploiement obligatoire du MFA résistant au phishing (FIDO2/passkeys) sur Tchap avant fin 2026. La DINUM ne peut politiquement pas laisser 825 000 comptes de fonctionnaires sans authentification forte après cet incident. L’annonce d’un calendrier de déploiement par paliers (comptes à privilèges en premier, puis ensemble des agents) est attendue dans les semaines qui viennent.
2. La CNIL ouvrira une enquête formelle sur la gestion de la brèche. La notification CNIL du 8 juin déclenche automatiquement une instruction. La présence d’identifiants LDAP codés en dur dans des scripts accessibles par des comptes utilisateurs standards constitue une insuffisance de sécurité documentée qui sera au coeur de l’examen.
3. L’ANSSI publiera un retex public d’ici la fin 2026. L’agence a l’habitude de documenter les incidents majeurs touchant des infrastructures gouvernementales sous forme de retours d’expérience. Ce document sera attendu comme référence par tous les déployeurs Matrix en Europe, en premier lieu l’Allemagne.
4. Les 90 documents “Diffusion Restreinte” feront l’objet d’une évaluation spécifique par les services de renseignement. Leur contenu exact et leurs implications opérationnelles seront évalués dans un cadre classifié par la DRM (Direction du renseignement militaire) ou la DGSE si des ministères régaliens sont impliqués.
5. “misere” sera identifié dans les 6 à 12 mois. Les traces numériques laissées dans l’opération, notamment les métadonnées des fichiers publiés sur le dark web, les patterns de requêtes réseau et les techniques d’ingénierie sociale utilisées, constituent des éléments d’investigation exploitables. Les acteurs isolés qui conduisent des opérations de cette envergure laissent généralement des indices suffisants pour une attribution, même si celle-ci ne sera pas forcément rendue publique.
Analyse : l’ingénierie sociale reste l’attaque que la technique seule ne peut pas résoudre
La brèche Tchap délivre un message inconfortable pour l’ensemble de l’industrie de la cybersécurité : les milliards d’euros investis dans des protocoles de chiffrement avancés, des serveurs souverains et des audits de code source n’ont pas protégé Tchap contre une technique aussi ancienne que la manipulation psychologique d’un être humain. Un fonctionnaire convaincu de partager ses identifiants d’accès, c’est une forteresse cryptographique ouverte de l’intérieur.
L’ingénierie sociale est impliquée dans 74 % des violations de données selon le Verizon Data Breach Investigations Report 2025. Dans les environnements gouvernementaux, ce chiffre monte à 81 % selon les données de l’ENISA publiées la même année. Construire une infrastructure souveraine et la confier à des utilisateurs humains non formés aux techniques de manipulation reste le vecteur d’attaque le plus rentable pour un attaquant patient.
La réponse technique complète comprend plusieurs couches : authentification multifacteur résistante au phishing (clés FIDO2), segmentation fine des droits d’accès (un compte d’enseignant du ministère de l’Éducation n’a pas besoin d’accéder aux salles publiques de la Défense), détection comportementale des sessions anormales (User and Entity Behavior Analytics, UEBA) capable d’alerter quand un compte accède à 876 salles en quelques heures, et formation régulière des agents aux techniques d’hameçonnage et d’ingénierie sociale. La DINUM connaît ces solutions. L’enjeu est maintenant leur déploiement à l’échelle de 825 000 comptes dans des dizaines de ministères aux maturités numériques très variées.
Pour les professionnels souhaitant renforcer leur propre posture de sécurité face aux brèches de données similaires, notre analyse sur le Yango condamné : 100 M€ pour transferts de données illustre les conséquences réglementaires des insuffisances de sécurité à l’ère du RGPD.
FAQ : Tchap et la brèche de juin 2026
Mes messages privés sur Tchap ont-ils été compromis ?
Non. La DINUM a confirmé que les conversations privées chiffrées de bout en bout n’ont pas été affectées par la brèche. Seules les salles de discussion publiques, accessibles par définition à tous les inscrits, ont été concernées par l’exfiltration de données.
Quelles données personnelles ont été exposées ?
Pour les 73 467 comptes affectés : nom, prénom, adresse e-mail professionnelle, entité d’appartenance (ministère ou administration), et avatar de profil. Les mots de passe ne sont pas stockés en clair dans l’architecture Matrix et n’ont pas été compromis.
Qu’est-ce que la classification “Diffusion Restreinte” ?
C’est le premier échelon de la protection de l’information gouvernementale en France, en dessous de “Confidentiel Défense” et “Secret Défense”. Elle couvre les informations dont la divulgation pourrait nuire aux intérêts de l’État sans atteindre un niveau de gravité critique. Ces documents peuvent inclure des notes interministérielles, des comptes rendus de réunions sensibles ou des communications internes sur des projets en cours.
Tchap est-il toujours utilisé après la brèche ?
Oui. La DINUM n’a pas suspendu la plateforme. Elle a bloqué le compte compromis, notifié la CNIL et poursuit l’analyse forensique. Tchap continue d’être l’outil de messagerie officiel des agents de l’État français, avec 825 000 utilisateurs inscrits.
Qui est “misere” ?
L’identité réelle de l’acteur opérant sous ce pseudonyme est inconnue à la date de publication. Aucun groupe cybercriminel ou APT connu ne revendique ce pseudonyme dans les bases de données publiques. L’ANSSI conduit l’investigation d’attribution, qui peut prendre plusieurs mois.
Qu’est-ce que le protocole Matrix utilisé par Tchap ?
Matrix est un protocole de communication décentralisé et open-source, développé à partir de 2014 et maintenu par la Matrix.org Foundation. Il permet l’interopérabilité entre différents serveurs (homeservers) et utilise l’algorithme Double Ratchet pour le chiffrement de bout en bout des conversations privées. C’est le même algorithme cryptographique que celui utilisé par Signal.
Les identifiants LDAP exposés représentent-ils un risque immédiat ?
Potentiellement oui, si ces identifiants sont encore actifs et donnent accès à l’annuaire LDAP du ministère de l’Éducation nationale. La DINUM n’a pas confirmé à ce stade si une révocation immédiate a été effectuée. C’est le risque résiduel le plus surveillé par les experts en cybersécurité dans les semaines qui suivent la brèche.
Quelle amende la CNIL peut-elle infliger ?
En théorie, le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. En pratique, les administrations publiques françaises font face à des recommandations contraignantes plutôt qu’à des sanctions financières lourdes. La CNIL peut toutefois émettre une mise en demeure avec délai de mise en conformité imposé.
