{"id":236,"date":"2026-06-18T08:00:00","date_gmt":"2026-06-18T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/18\/tchap-piratage-73467-agents-2026\/"},"modified":"2026-06-18T08:00:00","modified_gmt":"2026-06-18T08:00:00","slug":"tchap-piratage-73467-agents-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/18\/tchap-piratage-73467-agents-2026\/","title":{"rendered":"Tchap Pirat\u00e9 : 73 467 Agents, 643 000 Messages Vol\u00e9s [2026]"},"content":{"rendered":"\n

Le 7 juin 2026, l’Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d’information (ANSSI) d\u00e9tecte une intrusion sur Tchap<\/strong>, la messagerie s\u00e9curis\u00e9e utilis\u00e9e par l’ensemble des agents de l’\u00c9tat fran\u00e7ais. En moins de 48 heures, la DINUM confirme la compromission de 73 467 comptes gouvernementaux<\/strong>. L’attaquant, qui s’identifie sous le pseudonyme “misere”, revendique l’extraction de 643 459 messages, 59 386 fichiers m\u00e9dias et 13,5 Go de donn\u00e9es<\/strong>. Ce n’est pas seulement une fuite de donn\u00e9es : c’est une d\u00e9monstration publique que la messagerie officielle des minist\u00e8res fran\u00e7ais peut \u00eatre p\u00e9n\u00e9tr\u00e9e par ing\u00e9nierie sociale, sans casser un seul algorithme cryptographique.<\/p>\n\n\n\n

Tchap : la messagerie des 825 000 agents de l’\u00c9tat<\/h2>\n\n\n\n

Tchap est le r\u00e9seau de messagerie instantan\u00e9e d\u00e9velopp\u00e9 par la DINUM (Direction interminist\u00e9rielle du num\u00e9rique) pour remplacer les outils grand public comme WhatsApp ou Slack dans les administrations publiques. Bas\u00e9 sur le protocole open source Matrix<\/strong> (Element), il offre en th\u00e9orie un chiffrement de bout en bout pour les conversations priv\u00e9es entre agents. La plateforme compte plus de 825 000 agents inscrits<\/strong> au moment de l’incident, r\u00e9partis dans l’ensemble des minist\u00e8res, pr\u00e9fectures, \u00e9tablissements publics et services d\u00e9concentr\u00e9s de l’\u00c9tat.<\/p>\n\n\n\n

Lanc\u00e9 en 2019, Tchap a \u00e9t\u00e9 con\u00e7u pour r\u00e9pondre \u00e0 une exigence de souverainet\u00e9 num\u00e9rique : \u00e9viter que des communications gouvernementales sensibles ne transitent par des serveurs am\u00e9ricains soumis au Cloud Act. Le protocole Matrix garantit la f\u00e9d\u00e9ration des serveurs et une architecture d\u00e9centralis\u00e9e. En pratique, l’\u00c9tat fran\u00e7ais op\u00e8re plusieurs shards<\/strong> (partitions de serveur) sp\u00e9cialis\u00e9s par secteur : \u00e9ducation, sant\u00e9, int\u00e9rieur, d\u00e9fense, et autres administrations. Chaque shard h\u00e9berge ses propres salons de discussion et ses propres utilisateurs.<\/p>\n\n\n\n

Ce mod\u00e8le de d\u00e9ploiement pr\u00e9sente une particularit\u00e9 peu connue du grand public : si les conversations priv\u00e9es entre deux agents<\/strong> sont chiffr\u00e9es de bout en bout, les salons publics<\/strong> ouverts \u00e0 tous les utilisateurs de la plateforme ne le sont pas. Ce choix architectural, justifi\u00e9 par des imp\u00e9ratifs de mod\u00e9ration et de recherche de contenu, constitue pr\u00e9cis\u00e9ment la surface d’attaque exploit\u00e9e en juin 2026. Quiconque obtient un acc\u00e8s l\u00e9gitime \u00e0 un compte Tchap peut lire l’int\u00e9gralit\u00e9 des \u00e9changes dans ces salons ouverts, y compris l’historique ant\u00e9rieur \u00e0 sa propre inscription.<\/p>\n\n\n\n

Chronologie : 7 au 9 juin 2026, 48 heures de crise institutionnelle<\/h2>\n\n\n\n

L’incident se d\u00e9roule en trois phases distinctes. La premi\u00e8re phase commence avant le 7 juin : l’attaquant “misere” obtient par ing\u00e9nierie sociale<\/strong> les identifiants d’un agent de l’\u00c9ducation nationale disposant d’un compte sur le shard matrix.agent.education.tchap.gouv.fr<\/strong>. La m\u00e9thode pr\u00e9cise n’a pas \u00e9t\u00e9 rendue publique par les autorit\u00e9s, mais les d\u00e9clarations de l’attaquant pointent vers un phishing cibl\u00e9 (spear phishing) contre un profil \u00e0 faible vigilance s\u00e9curitaire.<\/p>\n\n\n\n

Le 7 juin 2026<\/strong>, l’ANSSI d\u00e9tecte une activit\u00e9 anormale li\u00e9e \u00e0 ce compte compromis. Les outils de surveillance en temps r\u00e9el de l’agence signalent un volume inhabituellement \u00e9lev\u00e9 de requ\u00eates API provenant d’une adresse IP suspecte. La DINUM est imm\u00e9diatement inform\u00e9e. L’analyse forensique commence dans les heures qui suivent. Le compte malveillant est identifi\u00e9 et bloqu\u00e9 le m\u00eame jour<\/strong>.<\/p>\n\n\n\n

Le 8 juin 2026<\/strong>, la DINUM publie une communication officielle. L’organisme confirme l’incident, pr\u00e9cise que les conversations priv\u00e9es chiffr\u00e9es de bout en bout n’ont pas \u00e9t\u00e9 affect\u00e9es, et annonce que l’acc\u00e8s persistant de l’attaquant a \u00e9t\u00e9 supprim\u00e9. La d\u00e9claration officielle indique : “Le compte \u00e0 l’origine des requ\u00eates malveillantes a \u00e9t\u00e9 identifi\u00e9. Il a \u00e9t\u00e9 imm\u00e9diatement bloqu\u00e9 afin de supprimer l’acc\u00e8s persistant de l’attaquant et de permettre une analyse approfondie de ce qui a pu \u00eatre consult\u00e9.”<\/em><\/p>\n\n\n\n

Le 9 juin 2026<\/strong>, la DINUM notifie la CNIL conform\u00e9ment aux obligations du RGPD, qui imposent une d\u00e9claration dans les 72 heures<\/strong> suivant la d\u00e9couverte d’une violation de donn\u00e9es personnelles. L’investigation reste ouverte. Pendant ce temps, l’attaquant “misere” publie ses revendications sur des forums sp\u00e9cialis\u00e9s, incluant des captures d’\u00e9cran et des exemples de donn\u00e9es obtenues pour cr\u00e9dibiliser ses affirmations.<\/p>\n\n\n\n

73 467 comptes compromis : ce que l’attaquant revendique<\/h2>\n\n\n\n

Les chiffres avanc\u00e9s par “misere” sont pr\u00e9cis et coh\u00e9rents entre eux, ce qui leur conf\u00e8re une cr\u00e9dibilit\u00e9 partielle, m\u00eame si les autorit\u00e9s ne les ont pas tous confirm\u00e9s officiellement. La DINUM reconna\u00eet que 73 467 utilisateurs<\/strong> ont \u00e9t\u00e9 affect\u00e9s, soit moins de 9 % des 825 000 agents inscrits<\/strong>. Ce chiffre correspond exactement \u00e0 la revendication de l’attaquant, ce qui sugg\u00e8re qu’il provient bien d’une extraction r\u00e9elle de la base de donn\u00e9es utilisateurs accessible depuis le compte compromis.<\/p>\n\n\n\n

Au-del\u00e0 des comptes, l’attaquant revendique 643 459 messages<\/strong> extraits depuis les salons publics auxquels le compte avait acc\u00e8s. Ces messages concernent potentiellement 876 salons de discussion<\/strong> impliquant plusieurs minist\u00e8res. Les m\u00e9tadonn\u00e9es associ\u00e9es incluent les identit\u00e9s des exp\u00e9diteurs, les horodatages, les organisations d’appartenance et les liens de r\u00e9union partag\u00e9s. La valeur de ces informations pour un acteur malveillant n’est pas tant dans le contenu individuel des messages que dans la cartographie des r\u00e9seaux humains<\/strong> au sein de l’administration fran\u00e7aise.<\/p>\n\n\n\n

L’attaquant revendique \u00e9galement 59 386 fichiers m\u00e9dias<\/strong> pour un volume total de 13,5 Go<\/strong>. Ces fichiers comprennent des images, des documents partag\u00e9s et des pi\u00e8ces jointes diverses \u00e9chang\u00e9s dans les salons publics. La DINUM a contest\u00e9 l’ampleur de cette exfiltration, affirmant que seules les donn\u00e9es accessibles via le compte compromis ont pu \u00eatre atteintes. Point particuli\u00e8rement sensible : l’attaquant pr\u00e9tend avoir eu acc\u00e8s \u00e0 des documents class\u00e9s “Diffusion Restreinte”<\/strong>, le premier niveau de classification de l’information en France. Cette affirmation n’a pas \u00e9t\u00e9 confirm\u00e9e ni infirm\u00e9e publiquement par les autorit\u00e9s.<\/p>\n\n\n\n\n \n \n \n \n \n \n \n \n \n \n \n
Tableau 1 : Donn\u00e9es chiffr\u00e9es de l’incident Tchap, juin 2026 \u2014 confirm\u00e9es vs revendiqu\u00e9es<\/caption>\n
Indicateur<\/th>\n D\u00e9claration DINUM<\/th>\n Revendication “misere”<\/th>\n Statut<\/th>\n <\/tr>\n <\/thead>\n
Agents Tchap inscrits<\/td>\n 825 000+<\/td>\n 825 000+<\/td>\n Confirm\u00e9<\/td>\n <\/tr>\n
Comptes affect\u00e9s<\/td>\n 73 467 (< 9 %)<\/td>\n 73 467<\/td>\n Confirm\u00e9<\/td>\n <\/tr>\n
Messages extraits<\/td>\n Non pr\u00e9cis\u00e9<\/td>\n 643 459<\/td>\n Non v\u00e9rifi\u00e9<\/td>\n <\/tr>\n
Salons de discussion<\/td>\n Non pr\u00e9cis\u00e9<\/td>\n 876<\/td>\n Non v\u00e9rifi\u00e9<\/td>\n <\/tr>\n
Fichiers m\u00e9dias vol\u00e9s<\/td>\n Non pr\u00e9cis\u00e9<\/td>\n 59 386<\/td>\n Non v\u00e9rifi\u00e9<\/td>\n <\/tr>\n
Volume total exfiltr\u00e9<\/td>\n Non pr\u00e9cis\u00e9<\/td>\n 13,5 Go<\/td>\n Non v\u00e9rifi\u00e9<\/td>\n <\/tr>\n
Documents “Diffusion Restreinte”<\/td>\n Non confirm\u00e9<\/td>\n Revendiqu\u00e9<\/td>\n Contest\u00e9<\/td>\n <\/tr>\n
Conversations priv\u00e9es E2E<\/td>\n Non affect\u00e9es<\/td>\n Non revendiqu\u00e9<\/td>\n Confirm\u00e9<\/td>\n <\/tr>\n <\/tbody>\n<\/table>\n\n\n\n

“misere” : profil d’un attaquant inconnu des bases de donn\u00e9es mondiales<\/h2>\n\n\n\n

SecurityWeek confirme qu’aucun historique public n’existe<\/strong> pour un acteur de menace portant l’alias “misere”. Ce profil absent des bases de donn\u00e9es des principaux cabinets de cybers\u00e9curit\u00e9 (CrowdStrike, Recorded Future, Sekoia.io) oriente les hypoth\u00e8ses dans deux directions : soit un acteur opportuniste d\u00e9butant sa carri\u00e8re criminelle publique, soit un groupe structur\u00e9 testant une nouvelle identit\u00e9 pour brouiller les pistes d’attribution. L’analyse technique de l’attaque penche vers la seconde hypoth\u00e8se.<\/p>\n\n\n\n

L’ing\u00e9nierie sociale ciblant sp\u00e9cifiquement le shard \u00e9ducation r\u00e9v\u00e8le une pr\u00e9paration pr\u00e9alable. Ce secteur regroupe des enseignants et personnels administratifs statistiquement moins expos\u00e9s aux protocoles de s\u00e9curit\u00e9 que les agents des minist\u00e8res r\u00e9galiens (Int\u00e9rieur, D\u00e9fense, Affaires \u00e9trang\u00e8res). La s\u00e9lection de cette cible initiale indique une reconnaissance pr\u00e9alable de l’architecture Tchap<\/strong> et une compr\u00e9hension de la hi\u00e9rarchie des risques par p\u00e9rim\u00e8tre. Les attaques opportunistes visent rarement des vecteurs d’entr\u00e9e aussi pr\u00e9cis.<\/p>\n\n\n\n

Les analystes de Sekoia.io, sp\u00e9cialiste fran\u00e7ais du renseignement sur les menaces, ont not\u00e9 dans leurs analyses de juin 2026 que la technique d’extraction de m\u00e9dias revendiqu\u00e9e par l’attaquant, bas\u00e9e sur l’\u00e9num\u00e9ration des identifiants m\u00e9dias accessibles via l’API Matrix, est connue mais rarement exploit\u00e9e \u00e0 cette \u00e9chelle dans des environnements gouvernementaux. Selon leurs \u00e9quipes, “la capacit\u00e9 \u00e0 extraire 13 Go de donn\u00e9es depuis un seul compte compromis pointe vers une ma\u00eetrise approfondie de l’API Matrix et une automatisation du processus d’exfiltration, ce qui ne correspond pas au profil type d’un attaquant isol\u00e9.”<\/em><\/p>\n\n\n\n

L’absence de ran\u00e7on exig\u00e9e ou de revente imm\u00e9diate des donn\u00e9es sur les march\u00e9s criminels connus ajoute une dimension suppl\u00e9mentaire \u00e0 l’analyse. Contrairement aux groupes ransomware classiques ou aux courtiers en donn\u00e9es comme ShinyHunters, “misere” semble davantage orient\u00e9 vers la d\u00e9monstration publique de la vuln\u00e9rabilit\u00e9 que vers le gain financier imm\u00e9diat. Ce comportement correspond soit \u00e0 un acteur \u00e9tatique cherchant \u00e0 d\u00e9stabiliser l’image de la souverainet\u00e9 num\u00e9rique fran\u00e7aise, soit \u00e0 un chercheur en s\u00e9curit\u00e9 op\u00e9rant hors des cadres l\u00e9gaux du bug bounty.<\/p>\n\n\n\n

La faille architecturale : des salons publics sans chiffrement de bout en bout<\/h2>\n\n\n\n

Le c\u0153ur technique de cet incident ne r\u00e9side pas dans une vuln\u00e9rabilit\u00e9 logicielle de Tchap mais dans un choix architectural d\u00e9lib\u00e9r\u00e9<\/strong> : les salons publics ne sont pas chiffr\u00e9s de bout en bout. Cette d\u00e9cision, document\u00e9e publiquement dans les sp\u00e9cifications techniques de Tchap, existe pour permettre la recherche de contenu, la mod\u00e9ration des \u00e9changes et l’archivage r\u00e9glementaire des communications administratives. Elle est coh\u00e9rente avec les pratiques de nombreuses entreprises utilisant des outils comme Slack ou Microsoft Teams.<\/p>\n\n\n\n

Sur le protocole Matrix, un salon non chiffr\u00e9 stocke ses messages en clair sur le serveur h\u00e9bergeant le shard correspondant. Tout compte authentifi\u00e9 et membre du salon peut acc\u00e9der \u00e0 l’historique complet des \u00e9changes, y compris les messages ant\u00e9rieurs \u00e0 son adh\u00e9sion si les param\u00e8tres de confidentialit\u00e9 du salon l’autorisent. Un compte compromis disposant d’acc\u00e8s \u00e0 876 salons publics<\/strong> peut donc extraire l’historique complet de ces salons via les APIs Matrix standard, sans d\u00e9clencher d’alertes sur des op\u00e9rations cryptographiques anormales. C’est pr\u00e9cis\u00e9ment ce sc\u00e9nario qui s’est produit.<\/p>\n\n\n\n

Vincent Strubel, directeur g\u00e9n\u00e9ral de l’ANSSI, a rappel\u00e9 dans des communications r\u00e9centes que “la souverainet\u00e9 num\u00e9rique ne se r\u00e9duit pas au choix du protocole ou du fournisseur : elle exige une hygi\u00e8ne op\u00e9rationnelle rigoureuse \u00e0 chaque n\u0153ud de la cha\u00eene, y compris sur les comptes individuels des agents.”<\/em> Cette d\u00e9claration prend une r\u00e9sonance particuli\u00e8re dans le contexte de l’incident Tchap, o\u00f9 c’est pr\u00e9cis\u00e9ment la compromission d’un compte individuel qui a permis l’acc\u00e8s au shard entier.<\/p>\n\n\n\n

La question du chiffrement des salons publics va au-del\u00e0 de Tchap. Sur Slack, Microsoft Teams, Google Chat et m\u00eame sur les d\u00e9ploiements Matrix d’entreprise, les administrateurs font face au m\u00eame arbitrage : chiffrement de bout en bout strict (incompatible avec la mod\u00e9ration automatique et la recherche) ou chiffrement au repos avec acc\u00e8s serveur (compatible avec les outils d’entreprise mais vuln\u00e9rable en cas de compromission du serveur ou d’un compte). Tchap a fait le m\u00eame choix que ses concurrents, mais dans un contexte gouvernemental o\u00f9 les enjeux de confidentialit\u00e9 sont structurellement plus \u00e9lev\u00e9s.<\/p>\n\n\n\n

Ing\u00e9nierie sociale : le premier vecteur d’attaque contre les gouvernements en 2026<\/h2>\n\n\n\n

L’ing\u00e9nierie sociale reste en 2026 le premier vecteur d’acc\u00e8s initial pour les attaques ciblant les organisations gouvernementales. Selon le rapport Verizon Data Breach Investigations Report 2025, 74 % des violations de donn\u00e9es impliquant des organisations publiques<\/strong> ont commenc\u00e9 par un facteur humain : phishing, pretexting ou exploitation de relations de confiance. La sophistication croissante des outils d’IA g\u00e9n\u00e9rative, notamment pour la g\u00e9n\u00e9ration de spear phishing personnalis\u00e9 ou la synth\u00e8se vocale pour le vishing, a r\u00e9duit le co\u00fbt et augment\u00e9 l’efficacit\u00e9 de ces attaques.<\/p>\n\n\n\n

Dans le cas Tchap, l’attaquant a cibl\u00e9 le shard \u00e9ducation pour deux raisons probables. Premi\u00e8rement, le volume d’utilisateurs dans ce shard (enseignants, personnels de rectorat, personnels administratifs) cr\u00e9e une surface d’attaque plus large avec des profils moins entra\u00een\u00e9s aux proc\u00e9dures de s\u00e9curit\u00e9. Deuxi\u00e8mement, le shard \u00e9ducation est f\u00e9d\u00e9r\u00e9 avec les autres shards gouvernementaux, ce qui signifie qu’un compte compromis dans l’\u00e9ducation peut acc\u00e9der aux salons publics f\u00e9d\u00e9r\u00e9s incluant des agents d’autres minist\u00e8res.<\/p>\n\n\n\n

Le Centre gouvernemental de veille, d’alerte et de r\u00e9ponse aux attaques informatiques (CERT-FR) a document\u00e9 une hausse de 34 % des campagnes de spear phishing<\/strong> ciblant les fonctionnaires entre 2024 et 2025, avec une sp\u00e9cialisation croissante sur les outils de collaboration interne comme Tchap. Les emails usurpant l’identit\u00e9 de la DINUM elle-m\u00eame ou des services informatiques minist\u00e9riels constituent le vecteur le plus fr\u00e9quemment observ\u00e9. Apr\u00e8s l’incident du 7 juin, l’ANSSI a d’ailleurs publi\u00e9 une alerte le 10 juin avertissant les agents de campagnes de phishing secondaires exploitant la notori\u00e9t\u00e9 de l’incident.<\/p>\n\n\n\n

R\u00e9ponse institutionnelle : DINUM, ANSSI et CNIL en premi\u00e8re ligne<\/h2>\n\n\n\n

La gestion de crise par les institutions fran\u00e7aises illustre \u00e0 la fois les progr\u00e8s de la coordination interminist\u00e9rielle cybers\u00e9curitaire et les limites de la communication publique en cas d’incident majeur. La d\u00e9tection par l’ANSSI le 7 juin et la communication publique par la DINUM le 8 juin repr\u00e9sentent un d\u00e9lai de moins de 24 heures<\/strong> entre la d\u00e9tection et la notification publique, performance remarquable par rapport aux standards internationaux. Le RGPD impose 72 heures pour notifier la CNIL, d\u00e9lai respect\u00e9 avec la notification du 9 juin.<\/p>\n\n\n\n

La DINUM a choisi une strat\u00e9gie de communication minimaliste mais factuelle. La d\u00e9claration officielle reconna\u00eet l’incident, confirme le nombre d’agents affect\u00e9s et r\u00e9affirme que les conversations priv\u00e9es chiffr\u00e9es n’ont pas \u00e9t\u00e9 compromises. Cette approche \u00e9vite la panique mais laisse plusieurs questions sans r\u00e9ponse : quels minist\u00e8res \u00e9taient repr\u00e9sent\u00e9s dans les 876 salons compromis ? Quels types d’informations circulaient dans ces espaces ? Des donn\u00e9es personnelles de citoyens \u00e9taient-elles pr\u00e9sentes dans les \u00e9changes des agents ?<\/p>\n\n\n\n

La CNIL, notifi\u00e9e le 9 juin, dispose de 3 mois pour \u00e9valuer si la DINUM a respect\u00e9 ses obligations RGPD en mati\u00e8re de s\u00e9curit\u00e9 des donn\u00e9es. L’article 32 du RGPD impose la mise en place de mesures techniques et organisationnelles appropri\u00e9es<\/strong> pour prot\u00e9ger les donn\u00e9es personnelles. Si la CNIL estime que l’absence de chiffrement de bout en bout dans les salons publics constitue une mesure insuffisante pour un traitement de donn\u00e9es concernant les agents de l’\u00c9tat, une proc\u00e9dure de sanction pourrait s’ouvrir. La porte-parole de la CNIL a pr\u00e9cis\u00e9 dans un communiqu\u00e9 du 10 juin 2026 : “Toute violation de donn\u00e9es personnelles, quelle que soit la qualit\u00e9 du responsable de traitement, public ou priv\u00e9, fait l’objet d’une \u00e9valuation rigoureuse au regard des obligations du RGPD.”<\/em><\/p>\n\n\n\n

Cette d\u00e9claration signale clairement que l’immunit\u00e9 des administrations publiques face aux sanctions de la CNIL n’existe pas, comme l’ont d\u00e9j\u00e0 d\u00e9montr\u00e9 les amendes inflig\u00e9es \u00e0 la RATP et \u00e0 plusieurs collectivit\u00e9s territoriales. La CNIL a inflig\u00e9 487 millions d’euros d’amendes RGPD<\/strong> en 2025, un record qui t\u00e9moigne de sa volont\u00e9 de sanctionner sans discrimination sectorielle.<\/p>\n\n\n\n

Tchap face \u00e0 Signal et WhatsApp : quelle messagerie pour les gouvernements ?<\/h2>\n\n\n\n

L’incident repose la question fondamentale du choix technologique pour les communications gouvernementales. Signal, souvent cit\u00e9 comme la r\u00e9f\u00e9rence en mati\u00e8re de chiffrement de bout en bout, offre une protection cryptographique plus homog\u00e8ne que Tchap, mais au prix d’une fonctionnalit\u00e9 r\u00e9duite (pas de salons publics non chiffr\u00e9s, pas d’historique multi-appareils sans d\u00e9gradation de la s\u00e9curit\u00e9). WhatsApp, malgr\u00e9 son chiffrement E2E bas\u00e9 sur le protocole Signal, est exclu des environnements gouvernementaux fran\u00e7ais pour des raisons de souverainet\u00e9 li\u00e9es \u00e0 Meta et aux serveurs am\u00e9ricains soumis au Cloud Act.<\/p>\n\n\n\n\n \n \n \n \n \n \n \n \n \n \n \n
Tableau 2 : Comparaison s\u00e9curitaire des messageries pour les gouvernements (2026)<\/caption>\n
Crit\u00e8re<\/th>\n Tchap (Matrix)<\/th>\n Signal<\/th>\n WhatsApp<\/th>\n Microsoft Teams<\/th>\n <\/tr>\n <\/thead>\n
Chiffrement E2E (conv. priv\u00e9es)<\/td>\n Oui<\/td>\n Oui (par d\u00e9faut)<\/td>\n Oui<\/td>\n Non (chiffrement au repos)<\/td>\n <\/tr>\n
Chiffrement E2E (salons publics)<\/td>\n Non<\/td>\n N\/A<\/td>\n Non (groupes publics)<\/td>\n Non<\/td>\n <\/tr>\n
H\u00e9bergement souverain possible<\/td>\n Oui (self-hosted FR)<\/td>\n Non (serveurs US)<\/td>\n Non (serveurs Meta)<\/td>\n Partiel (Azure EU)<\/td>\n <\/tr>\n
Open source<\/td>\n Oui (Matrix\/Element)<\/td>\n Oui<\/td>\n Non<\/td>\n Non<\/td>\n <\/tr>\n
Audit de code par tiers<\/td>\n Oui (ANSSI)<\/td>\n Oui (Cure53)<\/td>\n Partiel<\/td>\n Partiel<\/td>\n <\/tr>\n
Risque ing\u00e9nierie sociale<\/td>\n \u00c9lev\u00e9 (d\u00e9montr\u00e9 2026)<\/td>\n \u00c9lev\u00e9 (universel)<\/td>\n \u00c9lev\u00e9 (universel)<\/td>\n \u00c9lev\u00e9 (universel)<\/td>\n <\/tr>\n
Conformit\u00e9 Cloud Act<\/td>\n Oui (h\u00e9bergement FR)<\/td>\n Non<\/td>\n Non<\/td>\n Partiel<\/td>\n <\/tr>\n
Adapt\u00e9 classification DR<\/td>\n Conditionnel<\/td>\n Non qualifi\u00e9 ANSSI<\/td>\n Non<\/td>\n Non<\/td>\n <\/tr>\n <\/tbody>\n<\/table>\n\n\n\n

La comparaison r\u00e9v\u00e8le un point crucial : aucune messagerie grand public ou semi-professionnelle ne r\u00e9sout le probl\u00e8me de l’ing\u00e9nierie sociale. Signal prot\u00e8ge mieux le contenu des messages gr\u00e2ce \u00e0 son chiffrement syst\u00e9matique, mais un compte Signal compromis donne tout autant acc\u00e8s aux conversations existantes. La vraie diff\u00e9rence de Tchap r\u00e9side dans son architecture f\u00e9d\u00e9r\u00e9e avec des salons non chiffr\u00e9s, qui multiplie la surface d’exposition par le nombre de salons accessibles depuis un compte compromis.<\/p>\n\n\n\n

Implications pour la s\u00e9curit\u00e9 des communications d’\u00c9tat en France<\/h2>\n\n\n\n

L’incident Tchap survient dans un contexte de pression continue sur les infrastructures gouvernementales fran\u00e7aises. En f\u00e9vrier 2026, des identifiants vol\u00e9s ont permis d’acc\u00e9der au registre national des comptes bancaires, exposant des donn\u00e9es li\u00e9es \u00e0 1,2 million de comptes<\/strong>. En mars 2026, une attaque a cibl\u00e9 l’infrastructure cloud h\u00e9bergeant la plateforme Europa de la Commission europ\u00e9enne. La France n’est pas une cible isol\u00e9e : elle constitue un maillon d’une pression syst\u00e9matique contre les administrations publiques europ\u00e9ennes.<\/p>\n\n\n\n

Pour la cybers\u00e9curit\u00e9 gouvernementale fran\u00e7aise, l’incident soul\u00e8ve trois imp\u00e9ratifs imm\u00e9diats. Le premier concerne l’authentification forte obligatoire<\/strong> pour tous les acc\u00e8s Tchap. La DINUM devra imposer l’authentification \u00e0 deux facteurs r\u00e9sistante au phishing (cl\u00e9 de s\u00e9curit\u00e9 physique de type FIDO2\/WebAuthn) pour l’ensemble des 825 000 agents, et non plus seulement pour les fonctions sensibles. Le deuxi\u00e8me imp\u00e9ratif porte sur la r\u00e9vision de l’architecture des salons<\/strong> : le chiffrement des salons sensibles doit devenir la norme par d\u00e9faut. Le troisi\u00e8me concerne la formation continue<\/strong> des agents aux menaces d’ing\u00e9nierie sociale.<\/p>\n\n\n\n

Didier Goux, expert en cybers\u00e9curit\u00e9 gouvernementale et consultant aupr\u00e8s de plusieurs minist\u00e8res fran\u00e7ais, souligne que “l’incident Tchap illustre un paradoxe r\u00e9current dans la s\u00e9curit\u00e9 des outils souverains : on investit massivement dans la cryptographie et l’h\u00e9bergement national, puis on laisse la porte d’entr\u00e9e ouverte au niveau des comptes utilisateurs. La cha\u00eene de s\u00e9curit\u00e9 reste aussi solide que son maillon le plus faible, et ce maillon est presque toujours humain.”<\/em><\/p>\n\n\n\n

L’impact potentiel sur les relations diplomatiques ne doit pas \u00eatre sous-estim\u00e9. Si la revendication d’acc\u00e8s \u00e0 des salons impliquant plusieurs minist\u00e8res est confirm\u00e9e, des \u00e9changes couvrant des dossiers de coop\u00e9ration europ\u00e9enne ou de politique \u00e9conomique pourraient avoir \u00e9t\u00e9 expos\u00e9s. La France devra informer ses partenaires de l’UE de la nature potentielle des donn\u00e9es compromises, une proc\u00e9dure diplomatiquement d\u00e9licate mais impos\u00e9e par les obligations de la directive NIS2.<\/p>\n\n\n\n

Contexte europ\u00e9en : les messageries gouvernementales sous pression croissante<\/h2>\n\n\n\n

La France n’est pas le seul \u00c9tat europ\u00e9en \u00e0 d\u00e9ployer des solutions de messagerie souveraine bas\u00e9es sur Matrix. Les institutions de l’Union europ\u00e9enne utilisent Element (Matrix) pour leurs communications internes depuis 2020. L’Allemagne d\u00e9ploie des solutions Matrix dans certaines administrations f\u00e9d\u00e9rales. La Suisse a retenu Signal pour les communications parlementaires les plus sensibles. Chacune de ces solutions pr\u00e9sente le m\u00eame dilemme architectural : la souverainet\u00e9 du code et de l’h\u00e9bergement ne garantit pas la s\u00e9curit\u00e9 des comptes individuels.<\/p>\n\n\n\n

L’op\u00e9ration “Neusploit” document\u00e9e par le CSIS en janvier 2026 visait les administrations d’Europe centrale et orientale avec des techniques similaires d’ing\u00e9nierie sociale sur des outils de collaboration interne. La convergence des m\u00e9thodes d’attaque entre l’incident Tchap et les op\u00e9rations document\u00e9es contre d’autres gouvernements europ\u00e9ens sugg\u00e8re une inspiration commune, voire une coordination entre acteurs malveillants. L’ENISA (Agence de l’Union europ\u00e9enne pour la cybers\u00e9curit\u00e9) a int\u00e9gr\u00e9 ces incidents dans son rapport de menaces 2026, classant les outils de messagerie gouvernementaux comme cibles prioritaires<\/strong> pour les acteurs de niveau \u00e9tatique.<\/p>\n\n\n\n

La directive NIS2, entr\u00e9e en vigueur dans tous les \u00c9tats membres en octobre 2024, impose des obligations renforc\u00e9es de cybers\u00e9curit\u00e9 aux entit\u00e9s publiques essentielles, dont les administrations centrales. L’incident Tchap va alimenter les discussions sur l’interpr\u00e9tation de NIS2 pour les outils de communication gouvernementaux, et potentiellement d\u00e9boucher sur des recommandations techniques contraignantes de l’ENISA concernant les standards minimaux de s\u00e9curit\u00e9 des messageries publiques en Europe.<\/p>\n\n\n\n

Ce que les 825 000 agents Tchap doivent faire maintenant<\/h2>\n\n\n\n

Pour les agents inscrits sur Tchap, l’incident impose plusieurs actions imm\u00e9diates, ind\u00e9pendamment des mesures syst\u00e9miques que la DINUM va d\u00e9ployer. La premi\u00e8re priorit\u00e9 est de changer imm\u00e9diatement le mot de passe Tchap<\/strong> si celui-ci est identique \u00e0 un mot de passe utilis\u00e9 sur d’autres services. L’attaquant ayant obtenu des identifiants par ing\u00e9nierie sociale, la r\u00e9utilisation de mots de passe entre Tchap et des services personnels constitue un risque de pivot vers d’autres comptes.<\/p>\n\n\n\n

La deuxi\u00e8me action concerne la r\u00e9vision des informations partag\u00e9es dans les salons publics<\/strong>. Les agents doivent int\u00e9grer que tout ce qu’ils publient dans un salon non chiffr\u00e9 est potentiellement accessible depuis n’importe quel compte de la plateforme. Les liens de r\u00e9union, les num\u00e9ros de dossier, les noms de projets sensibles et les coordonn\u00e9es personnelles ne doivent jamais appara\u00eetre dans des salons publics. Pour les \u00e9changes sensibles, seules les conversations priv\u00e9es avec chiffrement E2E activ\u00e9 offrent une protection suffisante.<\/p>\n\n\n\n

La troisi\u00e8me recommandation porte sur la vigilance accrue face aux emails suspects se r\u00e9clamant de la DINUM<\/strong> dans les semaines suivant l’incident. Les attaquants exploitent syst\u00e9matiquement la notori\u00e9t\u00e9 des incidents r\u00e9cents pour lancer des campagnes de phishing secondaires, jouant sur l’inqui\u00e9tude des agents affect\u00e9s (“votre compte a \u00e9t\u00e9 compromis, cliquez ici pour le s\u00e9curiser”). L’ANSSI a publi\u00e9 une alerte en ce sens le 10 juin 2026, rappelant que la DINUM ne demande jamais de cliquer sur un lien par email pour r\u00e9initialiser un mot de passe Tchap.<\/p>\n\n\n\n

5 pr\u00e9dictions pour la s\u00e9curit\u00e9 des communications gouvernementales apr\u00e8s Tchap<\/h2>\n\n\n\n
    \n
  1. Obligation d’authentification FIDO2 pour Tchap avant fin 2026.<\/strong> La DINUM va imposer des cl\u00e9s de s\u00e9curit\u00e9 physiques pour les comptes disposant d’acc\u00e8s \u00e0 des salons minist\u00e9riels sensibles. L’ANSSI recommande cette approche pour les syst\u00e8mes d’information sensibles depuis son guide d’authentification 2024 et l’incident va acc\u00e9l\u00e9rer son d\u00e9ploiement.<\/li>\n
  2. Audit de l’architecture Matrix des shards gouvernementaux par l’ANSSI avant septembre 2026.<\/strong> La f\u00e9d\u00e9ration entre shards sera revue pour cloisonner davantage les acc\u00e8s entre secteurs. Le shard \u00e9ducation sera probablement isol\u00e9 des salons f\u00e9d\u00e9r\u00e9s impliquant les minist\u00e8res r\u00e9galiens.<\/li>\n
  3. Campagne de simulation de phishing pour les 825 000 agents Tchap au T3 2026.<\/strong> La DINUM d\u00e9ploiera des tests de phishing cibl\u00e9s sur les sc\u00e9narios d’usurpation d’identit\u00e9 DINUM pour \u00e9valuer et am\u00e9liorer la vigilance des agents.<\/li>\n
  4. Enqu\u00eate CNIL formellement ouverte avant juillet 2026.<\/strong> La notification du 9 juin d\u00e9clenche automatiquement une \u00e9valuation. Si la CNIL conclut \u00e0 une insuffisance des mesures de s\u00e9curit\u00e9, l’\u00c9tat fran\u00e7ais pourrait faire face \u00e0 une proc\u00e9dure de sanction sur un traitement qu’il op\u00e8re lui-m\u00eame, un pr\u00e9c\u00e9dent juridique in\u00e9dit.<\/li>\n
  5. Recommandations ENISA contraignantes sur les messageries gouvernementales publi\u00e9es avant fin 2026.<\/strong> L’accumulation d’incidents sur les outils de collaboration publics va acc\u00e9l\u00e9rer la publication d’un cadre de r\u00e9f\u00e9rence ENISA imposant des exigences minimales de chiffrement, d’authentification et de segmentation des acc\u00e8s pour tous les \u00c9tats membres.<\/li>\n<\/ol>\n\n\n\n

    Questions fr\u00e9quentes sur le piratage Tchap<\/h2>\n\n\n\n

    Mes messages priv\u00e9s sur Tchap ont-ils \u00e9t\u00e9 compromis ?<\/h3>\n\n\n\n

    Non, selon la DINUM. Les conversations priv\u00e9es entre agents utilisant le chiffrement de bout en bout n’ont pas \u00e9t\u00e9 affect\u00e9es par l’incident. L’attaquant a uniquement eu acc\u00e8s aux donn\u00e9es accessibles depuis le compte compromis, soit les salons publics non chiffr\u00e9s. Si vous communiquez exclusivement en priv\u00e9 avec chiffrement E2E activ\u00e9 sur Tchap, vos messages n’ont pas \u00e9t\u00e9 expos\u00e9s.<\/p>\n\n\n\n

    Tchap est-il encore s\u00fbr \u00e0 utiliser apr\u00e8s cet incident ?<\/h3>\n\n\n\n

    Tchap reste un outil valable pour les communications gouvernementales \u00e0 condition d’utiliser exclusivement les conversations priv\u00e9es chiffr\u00e9es pour tout \u00e9change sensible. L’incident a expos\u00e9 une faiblesse au niveau des comptes individuels et des salons publics, pas une faille cryptographique dans le protocole Matrix. La DINUM a bloqu\u00e9 l’acc\u00e8s malveillant et des mesures de renforcement de l’authentification sont attendues dans les prochaines semaines.<\/p>\n\n\n\n

    Qu’est-ce qu’un shard Tchap et pourquoi cela compte ?<\/h3>\n\n\n\n

    Un shard est une partition de serveur Matrix d\u00e9di\u00e9e \u00e0 un secteur sp\u00e9cifique de l’administration (\u00e9ducation, sant\u00e9, int\u00e9rieur, etc.). La f\u00e9d\u00e9ration entre shards permet aux agents de diff\u00e9rents secteurs de communiquer dans des salons communs. L’incident a montr\u00e9 qu’un compte compromis sur le shard \u00e9ducation pouvait acc\u00e9der \u00e0 des salons publics f\u00e9d\u00e9r\u00e9s impliquant d’autres minist\u00e8res, ce qui sera probablement la cible principale du prochain audit architectural de l’ANSSI.<\/p>\n\n\n\n

    Comment l’attaquant a-t-il obtenu les identifiants Tchap ?<\/h3>\n\n\n\n

    L’attaquant “misere” revendique une attaque par ing\u00e9nierie sociale, probablement du spear phishing cibl\u00e9 contre un agent de l’\u00c9ducation nationale. La DINUM n’a pas confirm\u00e9 la m\u00e9thode exacte en attendant les r\u00e9sultats de l’investigation. L’ing\u00e9nierie sociale reste le vecteur d’attaque initial le plus courant pour les syst\u00e8mes gouvernementaux en 2026, repr\u00e9sentant 74 % des violations document\u00e9es selon le Verizon DBIR 2025.<\/p>\n\n\n\n

    Des documents classifi\u00e9s ont-ils \u00e9t\u00e9 vol\u00e9s lors du piratage Tchap ?<\/h3>\n\n\n\n

    L’attaquant revendique l’acc\u00e8s \u00e0 des documents class\u00e9s “Diffusion Restreinte”, le premier niveau de la classification fran\u00e7aise (non-confidentiel mais \u00e0 diffusion limit\u00e9e). La DINUM n’a ni confirm\u00e9 ni infirm\u00e9 cette affirmation. Les documents v\u00e9ritablement classifi\u00e9s (Confidentiel D\u00e9fense, Secret D\u00e9fense) ne transitent pas par Tchap mais par des r\u00e9seaux d\u00e9di\u00e9s \u00e0 air gap. L’enjeu r\u00e9el concerne les \u00e9changes administratifs ordinaires qui peuvent r\u00e9v\u00e9ler des informations op\u00e9rationnelles sans \u00eatre formellement classifi\u00e9s.<\/p>\n\n\n\n

    La CNIL peut-elle sanctionner l’\u00c9tat fran\u00e7ais pour cet incident ?<\/h3>\n\n\n\n

    Oui. La CNIL a le pouvoir de sanctionner les administrations publiques pour manquement au RGPD, y compris l’\u00c9tat lui-m\u00eame en tant que responsable de traitement. La DINUM a correctement notifi\u00e9 la CNIL dans les 72 heures r\u00e9glementaires. La question centrale sera de savoir si l’absence de chiffrement E2E dans les salons publics constitue un manquement \u00e0 l’article 32 du RGPD sur les mesures techniques appropri\u00e9es. La CNIL dispose de 3 mois pour se prononcer sur la suite \u00e0 donner \u00e0 cette notification.<\/p>\n\n\n\n

    Quelle est la diff\u00e9rence entre Tchap et Signal pour la s\u00e9curit\u00e9 gouvernementale ?<\/h3>\n\n\n\n

    Signal chiffre tous les messages de bout en bout par d\u00e9faut, sans exception. Tchap chiffre les conversations priv\u00e9es mais laisse les salons publics non chiffr\u00e9s pour des raisons de fonctionnalit\u00e9 administrative. Signal est h\u00e9berg\u00e9 sur des serveurs am\u00e9ricains, ce qui le disqualifie pour les communications gouvernementales fran\u00e7aises au titre de la souverainet\u00e9 num\u00e9rique et du Cloud Act. Tchap, h\u00e9berg\u00e9 en France sur des serveurs de l’\u00c9tat, offre la souverainet\u00e9 mais un chiffrement moins homog\u00e8ne. Les deux restent vuln\u00e9rables \u00e0 l’ing\u00e9nierie sociale si la gestion des comptes est d\u00e9ficiente.<\/p>\n\n\n\n

    Couverture associ\u00e9e<\/h2>\n\n\n\n

    Articles en lien<\/h3>\n\n\n\n