Actualité : Tchap, la messagerie chiffrée de l'État français, a été piratée : 73 000 agents et 643 000 messages exposés

il y a 2 day 1

Publicité, votre contenu continue ci-dessous

La messagerie "souveraine et sécurisée" de l'État ne l'était pas assez

Publié le 09/06/26 à 08h31

Nos réseaux :

Ajoutez nous à vos favoris Google

L'État français a dépensé des millions pour construire Tchap, sa propre messagerie chiffrée, et l'imposer à 300 000 agents publics pour se passer de WhatsApp. Un cybercriminel affirme en avoir aspiré trois ans de conversations.

73 000 agents et 643 000 messages exposés

C'est un coup dur pour la souveraineté numérique française. Tchap, la messagerie instantanée chiffrée imposée à l'ensemble de l'administration depuis juillet 2025, a été compromise. L'ANSSI a détecté l'intrusion le 7 juin 2026, et la DINUM l'a confirmée dans un communiqué publié le 8 juin. Mais l'ampleur de la fuite dépasse largement le ton mesuré du communiqué officiel.

Ce que revendique l'attaquant

Un cybercriminel opérant sous le pseudonyme "Misère" a revendiqué l'attaque sur un forum, comme l'a relevé le site spécialisé FrenchBreaches. Il affirme avoir exfiltré 13 Go de données, incluant 643 459 messages échangés par 73 467 agents publics au sein de 976 salons de discussion. Selon les horodatages visibles dans les échantillons publiés, les données couvriraient une période allant de juin 2023 à juin 2026, soit près de trois ans d'échanges.

Capture d'écran de la revendication publiée par le cybercriminel

Le compte compromis serait lié à l'Éducation nationale. La DINUM n'a pas confirmé ces chiffres à ce stade.

Ce qui a été exposé, ce qui ne l'a pas été

Tchap distingue deux types d'échanges : les salons publics, ouverts à tous les utilisateurs et non chiffrés, et les conversations privées, protégées par du chiffrement de bout en bout. Selon la DINUM, toujours, seul le contenu des salons publics est susceptible d'avoir été consulté. Les conversations privées et chiffrées restent protégées : même en cas d'usurpation de compte, leur historique n'est pas accessible.

Échantillons de messages d'agents publics a priori extraits des salons publics de Tchap et publiés par le cybercriminel. Les noms ont été partiellement masqués. Un salon nommé #Apéro, regroupant des centaines d'agents de différents ministères, était dédié aux mèmes et aux échanges informels.

Le problème, c'est que les salons publics ne sont pas anodins. Ils concentrent des échanges professionnels entre agents de différents ministères et administrations, parfois accompagnés de documents partagés.

Un incident de plus dans la sphère publique

En décembre 2025, le ministère de l'Intérieur avait été touché par la compromission d'un compte agent. Le ministère des Sports a connu un incident similaire. En avril 2026, l'Agence nationale des titres sécurisés (ANTS) a subi une fuite de données qui a poussé le Premier ministre à lancer un nouveau plan d'action cyber.

Tchap, basée sur le protocole de messagerie décentralisée Matrix, avait justement été généralisée pour réduire la dépendance de l'État aux applications grand public et renforcer la sécurité des échanges. La plateforme compte aujourd'hui 300 000 agents utilisateurs.

Les mesures prises

Le compte à l'origine des requêtes malveillantes a été identifié et bloqué, explique la DINUM, qui a aussi notifié la CNIL et transmis un rappel à l'ensemble des utilisateurs : aucune information sensible ou couverte par le secret professionnel ne doit être échangée dans les salons publics. L'analyse des journaux d'événements est en cours pour déterminer les modalités exactes de l'attaque et les mesures de remédiation à mettre en oeuvre.

Suivez toute l'actualité des Numériques sur Google Actualités et sur la chaîne WhatsApp des Numériques

Envie de faire encore plus d'économies ? Découvrez nos codes promo sélectionnés pour vous.

Publications qui peuvent vous intéresser

Lire l’article en entier