{"id":301,"date":"2026-06-21T04:32:51","date_gmt":"2026-06-21T04:32:51","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/21\/tchap-piratage-73000-fonctionnaires-2026\/"},"modified":"2026-06-21T04:34:11","modified_gmt":"2026-06-21T04:34:11","slug":"tchap-piratage-73000-fonctionnaires-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/21\/tchap-piratage-73000-fonctionnaires-2026\/","title":{"rendered":"Tchap Pirat\u00e9 : 73 467 Fonctionnaires, 13,5 Go Vol\u00e9s [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\"><strong>Le 7 juin 2026, un hacker inconnu op\u00e9rant sous l&#8217;alias &#8220;misere&#8221; a compromis Tchap, la messagerie souveraine des fonctionnaires fran\u00e7ais, en exploitant un seul compte pirat\u00e9 au minist\u00e8re de l&#8217;\u00c9ducation nationale. Cinq jours plus tard, la DINUM confirmait que 73 467 agents publics \u00e9taient touch\u00e9s, que 643 459 messages avaient \u00e9t\u00e9 aspir\u00e9s depuis 876 salles de discussion publiques et que 13,5 gigaoctets de donn\u00e9es avaient \u00e9t\u00e9 exfiltr\u00e9s vers un forum du dark web. Aucune ran\u00e7on n&#8217;a \u00e9t\u00e9 exig\u00e9e. Aucune arrestation n&#8217;a \u00e9t\u00e9 annonc\u00e9e. L&#8217;enqu\u00eate de l&#8217;ANSSI est en cours.<\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"tchap-la-messagerie-que-la-france-a-construite-pour-sa-souverainete-numerique\">Tchap : la messagerie que la France a construite pour sa souverainet\u00e9 num\u00e9rique<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Tchap n&#8217;est pas une simple application de messagerie. Lanc\u00e9e en avril 2019 par la <a href=\"https:\/\/www.numerique.gouv.fr\/\" target=\"_blank\" rel=\"noopener noreferrer\">Direction interminist\u00e9rielle du num\u00e9rique (DINUM)<\/a> en collaboration avec l&#8217;<a href=\"https:\/\/www.ssi.gouv.fr\/\" target=\"_blank\" rel=\"noopener noreferrer\">Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d&#8217;information (ANSSI)<\/a>, elle repr\u00e9sente la r\u00e9ponse de l&#8217;\u00c9tat fran\u00e7ais \u00e0 un probl\u00e8me de souverainet\u00e9 num\u00e9rique identifi\u00e9 depuis des ann\u00e9es : les fonctionnaires utilisaient WhatsApp, Telegram et Signal, des plateformes soumises \u00e0 des juridictions \u00e9trang\u00e8res, pour des communications officielles.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Construite sur le protocole <strong>Matrix<\/strong>, un standard ouvert et d\u00e9centralis\u00e9, Tchap repose sur l&#8217;algorithme Double Ratchet pour le chiffrement de bout en bout (E2E) des conversations priv\u00e9es. Son code source est public. Son h\u00e9bergement est enti\u00e8rement op\u00e9r\u00e9 sur des serveurs gouvernementaux fran\u00e7ais. Son utilisation est gratuite pour les agents publics, financ\u00e9e par les fonds publics. En 2024, le gouvernement a rendu son usage obligatoire pour l&#8217;ensemble des communications officielles des agents de l&#8217;\u00c9tat, rempla\u00e7ant d\u00e9finitivement les outils grand public.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En juin 2026, Tchap comptait <strong>825 000 utilisateurs inscrits<\/strong>, dont environ 300 000 utilisateurs actifs quotidiens et 230 000 utilisateurs actifs mensuels. La plateforme h\u00e9berge des agents de tous les minist\u00e8res : D\u00e9fense, Finances, Int\u00e9rieur, \u00c9ducation nationale, Premier ministre. Sa compromission, m\u00eame partielle, constitue un \u00e9v\u00e9nement d&#8217;une gravit\u00e9 rare dans l&#8217;histoire de la cybers\u00e9curit\u00e9 fran\u00e7aise. La v\u00e9rification de s\u00e9curit\u00e9 du protocole Matrix utilis\u00e9 par Tchap avait \u00e9t\u00e9 r\u00e9alis\u00e9e par le cabinet NCC Group, qui avait confirm\u00e9 la solidit\u00e9 cryptographique de l&#8217;impl\u00e9mentation Double Ratchet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"7-juin-2026-chronologie-dune-intrusion-en-trois-actes\">7 juin 2026 : chronologie d&#8217;une intrusion en trois actes<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le sc\u00e9nario reconstruit par la DINUM et l&#8217;ANSSI suit une logique d&#8217;attaque classique mais redoutablement efficace. Dans un premier temps, &#8220;misere&#8221; a cibl\u00e9 le shard \u00e9ducatif de Tchap, h\u00e9berg\u00e9 sur le serveur <em>matrix.agent.education.tchap.gouv.fr<\/em>. L&#8217;attaquant a compromis le compte d&#8217;un fonctionnaire du minist\u00e8re de l&#8217;\u00c9ducation nationale par <strong>ing\u00e9nierie sociale<\/strong>, une technique qui ne n\u00e9cessite aucun exploit technique sophistiqu\u00e9 mais exploite la psychologie humaine pour obtenir des identifiants d&#8217;acc\u00e8s.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Une fois dans le syst\u00e8me, &#8220;misere&#8221; a exploit\u00e9 les droits d&#8217;acc\u00e8s propres \u00e0 ce compte pour naviguer dans <strong>les salles de discussion publiques<\/strong> de Tchap. C&#8217;est l\u00e0 le point crucial que la DINUM a tenu \u00e0 pr\u00e9ciser dans sa communication : les salles publiques, par conception, ne sont pas chiffr\u00e9es de bout en bout et sont accessibles \u00e0 tous les utilisateurs inscrits. L&#8217;attaquant n&#8217;a pas cass\u00e9 le chiffrement. Il a simplement utilis\u00e9 un compte l\u00e9gitime pour lire ce que n&#8217;importe quel fonctionnaire inscrit aurait pu lire.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Le <strong>7 juin au soir<\/strong>, l&#8217;ANSSI d\u00e9tecte l&#8217;intrusion et alerte la DINUM. Le compte compromis est bloqu\u00e9 dans les heures qui suivent. Le lendemain, <strong>8 juin<\/strong>, la DINUM publie un premier communiqu\u00e9, volontairement laconique sur les chiffres, confirmant seulement qu&#8217;une compromission a eu lieu et que des investigations sont en cours. Le <strong>12 juin<\/strong>, apr\u00e8s analyse approfondie des journaux d&#8217;\u00e9v\u00e9nements, la DINUM publie un bilan d\u00e9taill\u00e9 : 73 467 comptes affect\u00e9s, soit moins de 9 % des 825 000 inscrits. C&#8217;est \u00e0 cette date \u00e9galement que &#8220;misere&#8221; publie sur un forum du dark web un \u00e9chantillon des donn\u00e9es vol\u00e9es, revendiquant 13,5 Go de contenu.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"135-gigaoctets-de-donnees-linventaire-complet-de-ce-que-misere-a-vole\">13,5 gigaoctets de donn\u00e9es : l&#8217;inventaire complet de ce que &#8220;misere&#8221; a vol\u00e9<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Les chiffres publi\u00e9s par &#8220;misere&#8221; sur un forum du dark web constituent le tableau le plus complet disponible \u00e0 ce stade, la DINUM n&#8217;ayant ni confirm\u00e9 ni contest\u00e9 dans leur int\u00e9gralit\u00e9 les volumes annonc\u00e9s par l&#8217;attaquant. Ce qui est \u00e9tabli avec certitude par les deux parties :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>73 467 comptes d&#8217;agents publics<\/strong> touch\u00e9s : noms, pr\u00e9noms, adresses e-mail professionnelles, entit\u00e9 d&#8217;appartenance (minist\u00e8re ou administration concern\u00e9e), avatar de profil<\/li>\n<li><strong>643 459 messages<\/strong> extraits de <strong>876 salles de discussion publiques<\/strong><\/li>\n<li><strong>59 386 fichiers multim\u00e9dias<\/strong> partag\u00e9s par des fonctionnaires dans ces salles (documents, images, pi\u00e8ces jointes)<\/li>\n<li><strong>13,5 Go de donn\u00e9es<\/strong> au total exfiltr\u00e9s vers des serveurs contr\u00f4l\u00e9s par l&#8217;attaquant<\/li>\n<li>Environ <strong>90 documents portant la mention &#8220;Diffusion Restreinte&#8221;<\/strong> couvrant la p\u00e9riode juin 2023 \u00e0 juin 2026<\/li>\n<li>Des <strong>identifiants LDAP cod\u00e9s en dur<\/strong> d\u00e9couverts dans un script PowerShell pr\u00e9sent dans les donn\u00e9es exfiltr\u00e9es<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">La DINUM a confirm\u00e9 les cat\u00e9gories de donn\u00e9es personnelles expos\u00e9es (nom, pr\u00e9nom, e-mail, entit\u00e9, avatar) et la r\u00e9alit\u00e9 de l&#8217;acc\u00e8s aux salles publiques. Elle n&#8217;a ni confirm\u00e9 ni infirm\u00e9 les chiffres pr\u00e9cis des messages et fichiers vol\u00e9s, renvoyant \u00e0 la poursuite de l&#8217;analyse forensique. Les donn\u00e9es de connexion (mots de passe) ne sont pas stock\u00e9es en clair dans l&#8217;architecture Matrix et n&#8217;ont pas \u00e9t\u00e9 compromises. Les minist\u00e8res les plus repr\u00e9sent\u00e9s dans les salles publiques accessibles incluent le minist\u00e8re des Finances, le minist\u00e8re de la D\u00e9fense et les services du Premier ministre, selon les informations publi\u00e9es par l&#8217;attaquant.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"les-identifiants-ldap-la-vraie-bombe-a-retardement\">Les identifiants LDAP : la vraie bombe \u00e0 retardement<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;\u00e9l\u00e9ment le plus pr\u00e9occupant pour les experts en cybers\u00e9curit\u00e9 n&#8217;est pas le volume de donn\u00e9es vol\u00e9es, mais la pr\u00e9sence d&#8217;identifiants LDAP cod\u00e9s en dur dans un script PowerShell inclus dans les donn\u00e9es exfiltr\u00e9es. Le LDAP (Lightweight Directory Access Protocol) est le protocole d&#8217;annuaire utilis\u00e9 dans la quasi-totalit\u00e9 des environnements gouvernementaux pour g\u00e9rer les identit\u00e9s, les droits d&#8217;acc\u00e8s et les ressources r\u00e9seau. Un acc\u00e8s valide \u00e0 l&#8217;annuaire LDAP d&#8217;un minist\u00e8re peut permettre \u00e0 un attaquant de cartographier l&#8217;ensemble des utilisateurs, leurs droits et les syst\u00e8mes auxquels ils ont acc\u00e8s.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&#8220;La d\u00e9couverte d&#8217;identifiants LDAP cod\u00e9s en dur dans des scripts est un probl\u00e8me syst\u00e9mique, pas un incident isol\u00e9&#8221;, souligne <strong>Baptiste Robert<\/strong>, chercheur en cybers\u00e9curit\u00e9 sp\u00e9cialis\u00e9 dans les syst\u00e8mes d&#8217;information gouvernementaux. &#8220;Si ces identifiants sont actifs et permettent l&#8217;acc\u00e8s \u00e0 l&#8217;annuaire LDAP du minist\u00e8re de l&#8217;\u00c9ducation nationale, un attaquant motiv\u00e9 pourrait cartographier l&#8217;ensemble de l&#8217;infrastructure, identifier des comptes \u00e0 privil\u00e8ges et pr\u00e9parer une attaque bien plus d\u00e9vastatrice que le simple vol de messages.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La DINUM n&#8217;a pas confirm\u00e9 si ces identifiants avaient \u00e9t\u00e9 r\u00e9voqu\u00e9s avant la publication de cet article. La question de la lat\u00e9ralisation potentielle de l&#8217;attaque, c&#8217;est-\u00e0-dire la possibilit\u00e9 pour &#8220;misere&#8221; ou un tiers d&#8217;utiliser ces identifiants pour acc\u00e9der \u00e0 d&#8217;autres syst\u00e8mes gouvernementaux, reste ouverte et constitue le risque r\u00e9siduel le plus s\u00e9rieux issu de cette br\u00e8che.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"les-90-documents-diffusion-restreinte-implications-pour-la-securite-nationale\">Les 90 documents &#8220;Diffusion Restreinte&#8221; : implications pour la s\u00e9curit\u00e9 nationale<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La classification &#8220;Diffusion Restreinte&#8221; (DR) est le premier \u00e9chelon de la protection de l&#8217;information en France. Elle s&#8217;applique aux informations dont la divulgation pourrait nuire aux int\u00e9r\u00eats de l&#8217;\u00c9tat sans atteindre le niveau &#8220;Confidentiel D\u00e9fense&#8221; ou &#8220;Secret D\u00e9fense&#8221;. En pratique, des notes de r\u00e9union interminist\u00e9rielle, des comptes rendus de projets sensibles ou des communications sur des vuln\u00e9rabilit\u00e9s non encore divulgu\u00e9es peuvent porter cette mention.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&#8220;M\u00eame des documents DR peuvent r\u00e9v\u00e9ler des structures organisationnelles, des calendriers de projets sensibles ou des noms d&#8217;agents travaillant sur des dossiers sp\u00e9cifiques&#8221;, analyse <strong>Marc-Antoine Ledieu<\/strong>, avocat sp\u00e9cialis\u00e9 en droit du num\u00e9rique et droit de la d\u00e9fense. &#8220;Ce n&#8217;est pas le contenu seul qui cr\u00e9e le risque : c&#8217;est l&#8217;agr\u00e9gation de m\u00e9tadonn\u00e9es qui, combin\u00e9e \u00e0 d&#8217;autres sources de renseignement, peut composer un tableau d&#8217;ensemble dangereux pour la s\u00e9curit\u00e9 nationale.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;ANSSI n&#8217;a pas communiqu\u00e9 sur la nature pr\u00e9cise des 90 documents identifi\u00e9s. Les autorit\u00e9s fran\u00e7aises ont simplement confirm\u00e9 que l&#8217;investigation \u00e9tait en cours pour d\u00e9terminer leur contenu exact et leur sensibilit\u00e9 op\u00e9rationnelle r\u00e9elle. Si des informations sur des op\u00e9rations en cours ou des personnes prot\u00e9g\u00e9es sont impliqu\u00e9es, une proc\u00e9dure p\u00e9nale distincte sera ouverte, parall\u00e8lement \u00e0 l&#8217;enqu\u00eate sur l&#8217;intrusion elle-m\u00eame.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"comparaison-de-securite-tchap-face-aux-grandes-messageries\">Comparaison de s\u00e9curit\u00e9 : Tchap face aux grandes messageries<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Pour comprendre pourquoi la France a construit Tchap plut\u00f4t que d&#8217;utiliser les outils existants, et pourquoi cette br\u00e8che pose des questions sp\u00e9cifiques \u00e0 l&#8217;architecture choisie, il faut comparer les niveaux de s\u00e9curit\u00e9 et les mod\u00e8les de gouvernance des principales messageries disponibles en 2026.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Plateforme<\/th><th>Protocole<\/th><th>Chiffrement E2E<\/th><th>H\u00e9bergement<\/th><th>Utilisateurs inscrits<\/th><th>Co\u00fbt annuel<\/th><\/tr><\/thead><tbody><tr><td><strong>Tchap<\/strong><\/td><td>Matrix (Double Ratchet)<\/td><td>Oui (priv\u00e9), Non (public)<\/td><td>Serveurs DINUM, France<\/td><td>825 000<\/td><td>Gratuit (financement public)<\/td><\/tr><tr><td><strong>Signal<\/strong><\/td><td>Signal Protocol<\/td><td>Oui, toutes conversations<\/td><td>Signal Foundation, \u00c9tats-Unis<\/td><td>70M+<\/td><td>Gratuit<\/td><\/tr><tr><td><strong>WhatsApp<\/strong><\/td><td>Signal Protocol<\/td><td>Oui (chats priv\u00e9s et groupes)<\/td><td>Meta (servers US)<\/td><td>3 milliards<\/td><td>Gratuit<\/td><\/tr><tr><td><strong>Telegram<\/strong><\/td><td>MTProto<\/td><td>Oui (chats secrets uniquement)<\/td><td>International (Duba\u00ef)<\/td><td>950M<\/td><td>Freemium (0 \u00e0 ~50 \u20ac\/an)<\/td><\/tr><tr><td><strong>Mattermost<\/strong><\/td><td>Propri\u00e9taire<\/td><td>Optionnel (selon configuration)<\/td><td>Self-hosted ou cloud<\/td><td>20M+<\/td><td>0 \u00e0 120 \u20ac\/utilisateur\/an<\/td><\/tr><tr><td><strong>Wire Enterprise<\/strong><\/td><td>Proteus (Signal d\u00e9riv\u00e9)<\/td><td>Oui, toutes conversations<\/td><td>UE (Suisse) ou self-hosted<\/td><td>~500 000<\/td><td>environ 120 \u20ac\/utilisateur\/an<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;analyse du tableau r\u00e9v\u00e8le un paradoxe structurel propre \u00e0 Tchap : la plateforme offre un niveau de souverainet\u00e9 de donn\u00e9es in\u00e9gal\u00e9 parmi les messageries cit\u00e9es, mais sa conception avec des salles publiques non chiffr\u00e9es cr\u00e9e une surface d&#8217;attaque que Signal ou Wire n&#8217;ont pas, puisque ces deux outils chiffrent toutes les conversations sans exception. Telegram, \u00e0 l&#8217;inverse, ne chiffre de bout en bout que ses &#8220;chats secrets&#8221; et stocke en clair les messages des groupes et canaux sur ses serveurs, ce qui est pire que Tchap sur ce point. WhatsApp chiffre correctement ses groupes, mais ses donn\u00e9es de m\u00e9tadonn\u00e9es restent accessibles \u00e0 Meta, ce qui exclut toute utilisation gouvernementale fran\u00e7aise.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"misere-portrait-dun-attaquant-inconnu\">&#8220;misere&#8221; : portrait d&#8217;un attaquant inconnu<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La communaut\u00e9 cybers\u00e9curit\u00e9 est dans l&#8217;expectative : &#8220;misere&#8221; est un acteur inconnu, sans historique public d&#8217;attaques pr\u00e9c\u00e9dentes. Aucune analyse publi\u00e9e par BleepingComputer, SecurityWeek ou par les agences de renseignement n&#8217;a \u00e9tabli de lien avec un groupe APT (Advanced Persistent Threat) connu, qu&#8217;il soit d&#8217;origine \u00e9tatique russe, chinoise, nord-cor\u00e9enne ou autre.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;absence de demande de ran\u00e7on \u00e9carte le profil du cybercriminel classique motiv\u00e9 par le gain financier. L&#8217;absence de revendication politique exclut, en premi\u00e8re analyse, le hacktivisme au sens habituel du terme. La sophistication relative de l&#8217;op\u00e9ration (ciblage pr\u00e9cis d&#8217;un shard \u00e9ducatif, exfiltration propre sur 13,5 Go, publication organis\u00e9e des donn\u00e9es avec un inventaire d\u00e9taill\u00e9 sur le dark web) sugg\u00e8re un niveau de comp\u00e9tence au-dessus de la moyenne des acteurs opportunistes, sans atteindre les caract\u00e9ristiques d&#8217;une op\u00e9ration \u00e9tatique de grande envergure.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&#8220;Le profil de &#8216;misere&#8217; est atypique : pas de ran\u00e7on, pas de revendication politique, mais une op\u00e9ration manifestement pr\u00e9par\u00e9e avec une connaissance pr\u00e9cise de l&#8217;architecture de Tchap&#8221;, analyse <strong>Matthieu Suiche<\/strong>, fondateur du COMAE Institute et expert reconnu en cybers\u00e9curit\u00e9. &#8220;Cela pourrait correspondre \u00e0 un acteur cherchant \u00e0 se faire un nom dans la communaut\u00e9 underground, ou \u00e0 une op\u00e9ration de collecte de renseignement masqu\u00e9e derri\u00e8re un profil fictif. L&#8217;ANSSI a les moyens techniques et humains d&#8217;investiguer ces deux hypoth\u00e8ses en parall\u00e8le.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;ANSSI n&#8217;a fourni aucun \u00e9l\u00e9ment d&#8217;attribution \u00e0 la date de publication de cet article. L&#8217;enqu\u00eate, qui inclut l&#8217;analyse des journaux d&#8217;acc\u00e8s de la plateforme Matrix, des traces r\u00e9seau et des m\u00e9tadonn\u00e9es des fichiers publi\u00e9s sur le dark web, est en cours. Les traces num\u00e9riques laiss\u00e9es dans ce type d&#8217;op\u00e9ration, notamment les patterns de requ\u00eates r\u00e9seau et les m\u00e9tadonn\u00e9es des archives publi\u00e9es, constituent des indices exploitables par les \u00e9quipes sp\u00e9cialis\u00e9es de l&#8217;agence.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"reponse-institutionnelle-dinum-anssi-et-cnil-mobilisees\">R\u00e9ponse institutionnelle : DINUM, ANSSI et CNIL mobilis\u00e9es<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La gestion de crise a suivi les proc\u00e9dures \u00e9tablies par le cadre r\u00e9glementaire fran\u00e7ais avec une r\u00e9activit\u00e9 notable. D\u00e8s la d\u00e9tection de l&#8217;intrusion le 7 juin, l&#8217;ANSSI a alert\u00e9 la DINUM. Dans les heures qui ont suivi, le compte compromis a \u00e9t\u00e9 bloqu\u00e9 et r\u00e9voqu\u00e9, mettant fin \u00e0 l&#8217;acc\u00e8s persistant de l&#8217;attaquant. La DINUM a simultan\u00e9ment proc\u00e9d\u00e9 \u00e0 l&#8217;analyse des journaux d&#8217;\u00e9v\u00e9nements pour d\u00e9limiter pr\u00e9cis\u00e9ment le p\u00e9rim\u00e8tre de la br\u00e8che et identifier l&#8217;ensemble des salles et donn\u00e9es potentiellement accessibles.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Le 8 juin, la <a href=\"https:\/\/www.cnil.fr\/\" target=\"_blank\" rel=\"noopener noreferrer\">Commission nationale de l&#8217;informatique et des libert\u00e9s (CNIL)<\/a> a \u00e9t\u00e9 notifi\u00e9e conform\u00e9ment \u00e0 l&#8217;article 33 du R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD), qui impose aux responsables de traitement de signaler toute violation de donn\u00e9es personnelles dans un d\u00e9lai maximal de 72 heures. L&#8217;exposition des noms, pr\u00e9noms, adresses e-mail et affiliations organisationnelles de 73 467 fonctionnaires constitue bien une violation de donn\u00e9es \u00e0 caract\u00e8re personnel au sens du RGPD, m\u00eame si ces donn\u00e9es sont consid\u00e9r\u00e9es comme peu sensibles individuellement.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La CNIL dispose de 6 semaines pour d\u00e9cider si elle ouvre une enqu\u00eate formelle sur la gestion de la br\u00e8che par la DINUM. Dans ce type de cas impliquant une administration publique, les sanctions financi\u00e8res sont rares mais les recommandations contraignantes sont fr\u00e9quentes. La question centrale portera sur la gestion des acc\u00e8s aux comptes utilisateurs (pr\u00e9sence ou absence de MFA), la supervision comportementale des sessions (d\u00e9tection d&#8217;acc\u00e8s anormaux), et la pr\u00e9sence d&#8217;identifiants LDAP dans des scripts accessibles \u00e0 des comptes standards.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"le-chiffrement-e2e-ce-quil-a-protege-et-ce-quil-na-pas-pu-proteger\">Le chiffrement E2E : ce qu&#8217;il a prot\u00e9g\u00e9, et ce qu&#8217;il n&#8217;a pas pu prot\u00e9ger<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La communication de la DINUM a insist\u00e9 sur un point cl\u00e9 : &#8220;Les conversations priv\u00e9es des agents restent prot\u00e9g\u00e9es.&#8221; Cette affirmation, techniquement exacte, m\u00e9rite d&#8217;\u00eatre contextualis\u00e9e. Tchap, comme tout client Matrix, offre le chiffrement de bout en bout <em>uniquement pour les conversations priv\u00e9es<\/em>. Les salles de discussion publiques, par d\u00e9finition accessibles \u00e0 tous les inscrits, ne b\u00e9n\u00e9ficient pas de ce niveau de protection : leurs messages sont stock\u00e9s de fa\u00e7on lisible sur les homeservers Matrix administr\u00e9s par la DINUM.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Concr\u00e8tement, n&#8217;importe quel fonctionnaire disposant d&#8217;un compte Tchap valide peut, l\u00e9gitimement, lire le contenu de ces 876 salles publiques. L&#8217;attaquant &#8220;misere&#8221; a effectu\u00e9 cette lecture avec un compte vol\u00e9, \u00e0 grande \u00e9chelle et de fa\u00e7on automatis\u00e9e, en aspirant 643 459 messages en quelques heures. La cryptographie a fonctionn\u00e9 exactement comme pr\u00e9vu. La faille r\u00e9sidait dans la gestion des identit\u00e9s et des sessions, pas dans l&#8217;algorithme de chiffrement lui-m\u00eame.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&#8220;Le chiffrement E2E prot\u00e8ge contre l&#8217;\u00e9coute en transit et l&#8217;acc\u00e8s non autoris\u00e9 aux serveurs. Il ne prot\u00e8ge pas contre un compte utilisateur l\u00e9gitime compromis&#8221;, rappelle <strong>Chlo\u00e9 Messdaghi<\/strong>, directrice de la recherche en s\u00e9curit\u00e9, experte en s\u00e9curit\u00e9 des syst\u00e8mes gouvernementaux. &#8220;Les organisations doivent traiter la s\u00e9curit\u00e9 des identit\u00e9s (IAM) avec le m\u00eame s\u00e9rieux que le chiffrement des donn\u00e9es. Ces deux couches de s\u00e9curit\u00e9 sont compl\u00e9mentaires : l&#8217;une sans l&#8217;autre laisse des angles morts critiques.&#8221;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"contexte-historique-les-grandes-cyberattaques-contre-letat-francais-2024-2026\">Contexte historique : les grandes cyberattaques contre l&#8217;\u00c9tat fran\u00e7ais (2024-2026)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;attaque contre Tchap s&#8217;inscrit dans une s\u00e9rie pr\u00e9occupante d&#8217;incidents ciblant l&#8217;administration fran\u00e7aise. Contrairement aux pr\u00e9c\u00e9dents, qui portaient sur des bases de donn\u00e9es de citoyens ou de patients, la br\u00e8che Tchap cible directement l&#8217;infrastructure de communication op\u00e9rationnelle des fonctionnaires eux-m\u00eames, ce qui la distingue qualitativement des incidents pr\u00e9c\u00e9dents.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Date<\/th><th>Cible<\/th><th>Donn\u00e9es expos\u00e9es<\/th><th>Vecteur d&#8217;attaque<\/th><th>Personnes affect\u00e9es<\/th><\/tr><\/thead><tbody><tr><td>Juin 2026<\/td><td>Tchap (DINUM) &#8211; messagerie agents<\/td><td>73 467 comptes, 643 K messages, 13,5 Go<\/td><td>Ing\u00e9nierie sociale, compte compromis<\/td><td>73 467 fonctionnaires<\/td><\/tr><tr><td>F\u00e9vrier 2026<\/td><td>FICOBA (registre national bancaire)<\/td><td>1,2 million de r\u00e9f\u00e9rences de comptes<\/td><td>Identifiants vol\u00e9s, acc\u00e8s Ministry \u00c9conomie<\/td><td>1,2 million de citoyens<\/td><\/tr><tr><td>2025<\/td><td>France Titres (ANTS)<\/td><td>11,7 millions de dossiers de titres d&#8217;identit\u00e9<\/td><td>Non divulgu\u00e9 publiquement<\/td><td>11,7 millions de citoyens<\/td><\/tr><tr><td>2025<\/td><td>Syst\u00e8me de Sant\u00e9 national (HDS)<\/td><td>12 000 dossiers patients<\/td><td>Ransomware<\/td><td>12 000 patients<\/td><\/tr><tr><td>2024<\/td><td>Messagerie Minist\u00e8re des Arm\u00e9es<\/td><td>5 000 comptes e-mail<\/td><td>Non divulgu\u00e9 publiquement<\/td><td>5 000 agents de d\u00e9fense<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Ce tableau r\u00e9v\u00e8le une acc\u00e9l\u00e9ration notable du rythme des incidents majeurs touchant l&#8217;administration fran\u00e7aise entre 2024 et 2026. La br\u00e8che Tchap est la premi\u00e8re \u00e0 exposer simultan\u00e9ment des donn\u00e9es de communication inter-agences et des identifiants d&#8217;infrastructure (LDAP), cr\u00e9ant un risque de propagation qui n&#8217;existait pas dans les attaques pr\u00e9c\u00e9dentes concentr\u00e9es sur des bases de donn\u00e9es statiques. Pour aller plus loin sur les incidents r\u00e9cents touchant les donn\u00e9es fran\u00e7aises, notre analyse de <a href=\"\/fr\/ficoba-piratage-12-millions-comptes-bancaires-2026\/\">FICOBA : 1,2 Million de Comptes Bancaires Pirat\u00e9s<\/a> et celle sur <a href=\"\/fr\/france-titres-ants-piratage-11-millions-2026\/\">France Titres ANTS : 11,7 Millions de Dossiers Expos\u00e9s<\/a> apportent le contexte complet de ces incidents.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"impact-sur-lecosysteme-matrix-et-la-messagerie-souveraine-europeenne\">Impact sur l&#8217;\u00e9cosyst\u00e8me Matrix et la messagerie souveraine europ\u00e9enne<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La br\u00e8che Tchap arrive \u00e0 un moment strat\u00e9gique pour l&#8217;\u00e9cosyst\u00e8me Matrix. Plusieurs gouvernements europ\u00e9ens, dont l&#8217;Allemagne avec son BWI Messenger (lui aussi bas\u00e9 sur Matrix), ont adopt\u00e9 ou envisagent d&#8217;adopter des solutions de ce type pour leurs communications officielles. La compromission de Tchap par ing\u00e9nierie sociale n&#8217;est pas une d\u00e9faillance du protocole Matrix en tant que tel, mais elle va alimenter les d\u00e9bats sur la s\u00e9curit\u00e9 op\u00e9rationnelle (OPSEC) des d\u00e9ploiements institutionnels \u00e0 grande \u00e9chelle.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&#8220;Ce qui s&#8217;est pass\u00e9 avec Tchap aurait pu se produire avec n&#8217;importe quelle messagerie d&#8217;entreprise : Slack, Microsoft Teams, Mattermost&#8221;, nuance <strong>Thomas Rouault<\/strong>, architecte senior en s\u00e9curit\u00e9 des syst\u00e8mes d&#8217;information. &#8220;La faiblesse n&#8217;est pas dans Matrix. Elle est dans la gestion des acc\u00e8s : un compte sans authentification multifacteur (MFA), compromis par ing\u00e9nierie sociale, donne acc\u00e8s \u00e0 tout ce \u00e0 quoi il a acc\u00e8s l\u00e9gitimement. C&#8217;est un probl\u00e8me universel qui concerne toutes les organisations, publiques et priv\u00e9es.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La question du d\u00e9ploiement obligatoire du MFA sur Tchap va d\u00e9sormais occuper le centre du d\u00e9bat public. La DINUM n&#8217;a pas communiqu\u00e9 sur la pr\u00e9sence ou l&#8217;absence de MFA sur le compte compromis. Si l&#8217;ing\u00e9nierie sociale a permis de contourner un MFA existant (par phishing en temps r\u00e9el, par exemple), le probl\u00e8me est diff\u00e9rent et plus grave. L&#8217;annonce d&#8217;un calendrier de d\u00e9ploiement du MFA r\u00e9sistant au phishing, bas\u00e9 sur des cl\u00e9s FIDO2, est attendue dans les semaines qui viennent. Notre comparaison d\u00e9taill\u00e9e des protocoles de messagerie dans notre article <a href=\"\/fr\/signal-vs-whatsapp-vs-telegram\/\">Signal vs WhatsApp vs Telegram<\/a> offre un \u00e9clairage compl\u00e9mentaire sur les choix d&#8217;architecture.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Au niveau r\u00e9glementaire europ\u00e9en, la directive NIS 2, qui s&#8217;applique depuis octobre 2024 aux administrations publiques et aux infrastructures critiques, impose des obligations de d\u00e9tection et de signalement des incidents dans des d\u00e9lais stricts : 24 heures pour l&#8217;alerte pr\u00e9liminaire, 72 heures pour le rapport d\u00e9taill\u00e9. La r\u00e9action de la DINUM et de l&#8217;ANSSI dans ce d\u00e9lai semble avoir respect\u00e9 ces obligations. L&#8217;enjeu d\u00e9sormais est celui des mesures correctives et de la d\u00e9monstration d&#8217;une am\u00e9lioration de la posture de s\u00e9curit\u00e9 dans les 3 mois suivant l&#8217;incident, comme l&#8217;exige NIS 2. Notre analyse du <a href=\"\/fr\/cyber-resilience-act-cra-2026-france\/\">Cyber Resilience Act<\/a> et celle sur <a href=\"\/fr\/moveit-cve-2026-4670-cvss-9-8\/\">MOVEit CVE-2026-4670 : 3 000 Entreprises en Alerte<\/a> documentent le cadre r\u00e9glementaire dans lequel s&#8217;inscrit cette br\u00e8che.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cinq-predictions-pour-les-12-prochains-mois\">Cinq pr\u00e9dictions pour les 12 prochains mois<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Sur la base des \u00e9l\u00e9ments disponibles au 21 juin 2026, cinq \u00e9volutions paraissent in\u00e9vitables \u00e0 court et moyen terme.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>1. D\u00e9ploiement obligatoire du MFA r\u00e9sistant au phishing (FIDO2\/passkeys) sur Tchap avant fin 2026.<\/strong> La DINUM ne peut politiquement pas laisser 825 000 comptes de fonctionnaires sans authentification forte apr\u00e8s cet incident. L&#8217;annonce d&#8217;un calendrier de d\u00e9ploiement par paliers (comptes \u00e0 privil\u00e8ges en premier, puis ensemble des agents) est attendue dans les semaines qui viennent.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2. La CNIL ouvrira une enqu\u00eate formelle sur la gestion de la br\u00e8che.<\/strong> La notification CNIL du 8 juin d\u00e9clenche automatiquement une instruction. La pr\u00e9sence d&#8217;identifiants LDAP cod\u00e9s en dur dans des scripts accessibles par des comptes utilisateurs standards constitue une insuffisance de s\u00e9curit\u00e9 document\u00e9e qui sera au coeur de l&#8217;examen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>3. L&#8217;ANSSI publiera un retex public d&#8217;ici la fin 2026.<\/strong> L&#8217;agence a l&#8217;habitude de documenter les incidents majeurs touchant des infrastructures gouvernementales sous forme de retours d&#8217;exp\u00e9rience. Ce document sera attendu comme r\u00e9f\u00e9rence par tous les d\u00e9ployeurs Matrix en Europe, en premier lieu l&#8217;Allemagne.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>4. Les 90 documents &#8220;Diffusion Restreinte&#8221; feront l&#8217;objet d&#8217;une \u00e9valuation sp\u00e9cifique par les services de renseignement.<\/strong> Leur contenu exact et leurs implications op\u00e9rationnelles seront \u00e9valu\u00e9s dans un cadre classifi\u00e9 par la DRM (Direction du renseignement militaire) ou la DGSE si des minist\u00e8res r\u00e9galiens sont impliqu\u00e9s.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>5. &#8220;misere&#8221; sera identifi\u00e9 dans les 6 \u00e0 12 mois.<\/strong> Les traces num\u00e9riques laiss\u00e9es dans l&#8217;op\u00e9ration, notamment les m\u00e9tadonn\u00e9es des fichiers publi\u00e9s sur le dark web, les patterns de requ\u00eates r\u00e9seau et les techniques d&#8217;ing\u00e9nierie sociale utilis\u00e9es, constituent des \u00e9l\u00e9ments d&#8217;investigation exploitables. Les acteurs isol\u00e9s qui conduisent des op\u00e9rations de cette envergure laissent g\u00e9n\u00e9ralement des indices suffisants pour une attribution, m\u00eame si celle-ci ne sera pas forc\u00e9ment rendue publique.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"analyse-lingenierie-sociale-reste-lattaque-que-la-technique-seule-ne-peut-pas-resoudre\">Analyse : l&#8217;ing\u00e9nierie sociale reste l&#8217;attaque que la technique seule ne peut pas r\u00e9soudre<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La br\u00e8che Tchap d\u00e9livre un message inconfortable pour l&#8217;ensemble de l&#8217;industrie de la cybers\u00e9curit\u00e9 : les milliards d&#8217;euros investis dans des protocoles de chiffrement avanc\u00e9s, des serveurs souverains et des audits de code source n&#8217;ont pas prot\u00e9g\u00e9 Tchap contre une technique aussi ancienne que la manipulation psychologique d&#8217;un \u00eatre humain. Un fonctionnaire convaincu de partager ses identifiants d&#8217;acc\u00e8s, c&#8217;est une forteresse cryptographique ouverte de l&#8217;int\u00e9rieur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;ing\u00e9nierie sociale est impliqu\u00e9e dans 74 % des violations de donn\u00e9es selon le Verizon Data Breach Investigations Report 2025. Dans les environnements gouvernementaux, ce chiffre monte \u00e0 81 % selon les donn\u00e9es de l&#8217;ENISA publi\u00e9es la m\u00eame ann\u00e9e. Construire une infrastructure souveraine et la confier \u00e0 des utilisateurs humains non form\u00e9s aux techniques de manipulation reste le vecteur d&#8217;attaque le plus rentable pour un attaquant patient.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La r\u00e9ponse technique compl\u00e8te comprend plusieurs couches : authentification multifacteur r\u00e9sistante au phishing (cl\u00e9s FIDO2), segmentation fine des droits d&#8217;acc\u00e8s (un compte d&#8217;enseignant du minist\u00e8re de l&#8217;\u00c9ducation n&#8217;a pas besoin d&#8217;acc\u00e9der aux salles publiques de la D\u00e9fense), d\u00e9tection comportementale des sessions anormales (User and Entity Behavior Analytics, UEBA) capable d&#8217;alerter quand un compte acc\u00e8de \u00e0 876 salles en quelques heures, et formation r\u00e9guli\u00e8re des agents aux techniques d&#8217;hame\u00e7onnage et d&#8217;ing\u00e9nierie sociale. La DINUM conna\u00eet ces solutions. L&#8217;enjeu est maintenant leur d\u00e9ploiement \u00e0 l&#8217;\u00e9chelle de 825 000 comptes dans des dizaines de minist\u00e8res aux maturit\u00e9s num\u00e9riques tr\u00e8s vari\u00e9es.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour les professionnels souhaitant renforcer leur propre posture de s\u00e9curit\u00e9 face aux br\u00e8ches de donn\u00e9es similaires, notre analyse sur le <a href=\"\/fr\/yango-amende-100m-donnees-russie-2026\/\">Yango condamn\u00e9 : 100 M\u20ac pour transferts de donn\u00e9es<\/a> illustre les cons\u00e9quences r\u00e9glementaires des insuffisances de s\u00e9curit\u00e9 \u00e0 l&#8217;\u00e8re du RGPD.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"faq-tchap-et-la-breche-de-juin-2026\">FAQ : Tchap et la br\u00e8che de juin 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Mes messages priv\u00e9s sur Tchap ont-ils \u00e9t\u00e9 compromis ?<\/strong><br>Non. La DINUM a confirm\u00e9 que les conversations priv\u00e9es chiffr\u00e9es de bout en bout n&#8217;ont pas \u00e9t\u00e9 affect\u00e9es par la br\u00e8che. Seules les salles de discussion publiques, accessibles par d\u00e9finition \u00e0 tous les inscrits, ont \u00e9t\u00e9 concern\u00e9es par l&#8217;exfiltration de donn\u00e9es.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Quelles donn\u00e9es personnelles ont \u00e9t\u00e9 expos\u00e9es ?<\/strong><br>Pour les 73 467 comptes affect\u00e9s : nom, pr\u00e9nom, adresse e-mail professionnelle, entit\u00e9 d&#8217;appartenance (minist\u00e8re ou administration), et avatar de profil. Les mots de passe ne sont pas stock\u00e9s en clair dans l&#8217;architecture Matrix et n&#8217;ont pas \u00e9t\u00e9 compromis.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Qu&#8217;est-ce que la classification &#8220;Diffusion Restreinte&#8221; ?<\/strong><br>C&#8217;est le premier \u00e9chelon de la protection de l&#8217;information gouvernementale en France, en dessous de &#8220;Confidentiel D\u00e9fense&#8221; et &#8220;Secret D\u00e9fense&#8221;. Elle couvre les informations dont la divulgation pourrait nuire aux int\u00e9r\u00eats de l&#8217;\u00c9tat sans atteindre un niveau de gravit\u00e9 critique. Ces documents peuvent inclure des notes interminist\u00e9rielles, des comptes rendus de r\u00e9unions sensibles ou des communications internes sur des projets en cours.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Tchap est-il toujours utilis\u00e9 apr\u00e8s la br\u00e8che ?<\/strong><br>Oui. La DINUM n&#8217;a pas suspendu la plateforme. Elle a bloqu\u00e9 le compte compromis, notifi\u00e9 la CNIL et poursuit l&#8217;analyse forensique. Tchap continue d&#8217;\u00eatre l&#8217;outil de messagerie officiel des agents de l&#8217;\u00c9tat fran\u00e7ais, avec 825 000 utilisateurs inscrits.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Qui est &#8220;misere&#8221; ?<\/strong><br>L&#8217;identit\u00e9 r\u00e9elle de l&#8217;acteur op\u00e9rant sous ce pseudonyme est inconnue \u00e0 la date de publication. Aucun groupe cybercriminel ou APT connu ne revendique ce pseudonyme dans les bases de donn\u00e9es publiques. L&#8217;ANSSI conduit l&#8217;investigation d&#8217;attribution, qui peut prendre plusieurs mois.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Qu&#8217;est-ce que le protocole Matrix utilis\u00e9 par Tchap ?<\/strong><br>Matrix est un protocole de communication d\u00e9centralis\u00e9 et open-source, d\u00e9velopp\u00e9 \u00e0 partir de 2014 et maintenu par la Matrix.org Foundation. Il permet l&#8217;interop\u00e9rabilit\u00e9 entre diff\u00e9rents serveurs (homeservers) et utilise l&#8217;algorithme Double Ratchet pour le chiffrement de bout en bout des conversations priv\u00e9es. C&#8217;est le m\u00eame algorithme cryptographique que celui utilis\u00e9 par Signal.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Les identifiants LDAP expos\u00e9s repr\u00e9sentent-ils un risque imm\u00e9diat ?<\/strong><br>Potentiellement oui, si ces identifiants sont encore actifs et donnent acc\u00e8s \u00e0 l&#8217;annuaire LDAP du minist\u00e8re de l&#8217;\u00c9ducation nationale. La DINUM n&#8217;a pas confirm\u00e9 \u00e0 ce stade si une r\u00e9vocation imm\u00e9diate a \u00e9t\u00e9 effectu\u00e9e. C&#8217;est le risque r\u00e9siduel le plus surveill\u00e9 par les experts en cybers\u00e9curit\u00e9 dans les semaines qui suivent la br\u00e8che.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Quelle amende la CNIL peut-elle infliger ?<\/strong><br>En th\u00e9orie, le RGPD pr\u00e9voit des amendes pouvant atteindre 20 millions d&#8217;euros ou 4 % du chiffre d&#8217;affaires annuel mondial. En pratique, les administrations publiques fran\u00e7aises font face \u00e0 des recommandations contraignantes plut\u00f4t qu&#8217;\u00e0 des sanctions financi\u00e8res lourdes. La CNIL peut toutefois \u00e9mettre une mise en demeure avec d\u00e9lai de mise en conformit\u00e9 impos\u00e9.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le 7 juin 2026, un hacker inconnu op\u00e9rant sous l&#8217;alias &#8220;misere&#8221; a compromis Tchap, la messagerie souveraine des fonctionnaires fran\u00e7ais, en exploitant un seul compte pirat\u00e9 au minist\u00e8re de l&#8217;\u00c9ducation\u2026<\/p>\n","protected":false},"author":3,"featured_media":302,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10,3],"tags":[],"class_list":["post-301","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-10","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/301","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/comments?post=301"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/301\/revisions"}],"predecessor-version":[{"id":303,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/301\/revisions\/303"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/media\/302"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/media?parent=301"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/categories?post=301"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/tags?post=301"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}