Skip to content
hacker_posts

Tchap : la DINUM confirme une intrusion, 73 000 agents et 643 000 messages revendiqués

L'ANSSI a détecté le 7 juin une compromission de Tchap via un compte Éducation nationale usurpé. Un attaquant revendique 13,5 Go de salons publics et 643 459 messages.

Publié le 5 min de lecture
fuitetchapdinumanssifrance

La DINUM et l'ANSSI ont confirmé le 8 juin 2026 une compromission de Tchap, la messagerie instantanée chiffrée utilisée par les agents de l'État. Selon le communiqué relayé par Le Monde Informatique et confirmé par IT-Connect, l'incident a été détecté le 7 juin après l'usurpation d'un compte légitime rattaché au ministère de l'Éducation nationale. Le compte a été désactivé dans la foulée et la CNIL notifiée. Aucune vulnérabilité technique de Tchap n'est en cause — le vecteur est un compte utilisateur compromis en amont.

L'attaquant revendique sur un forum cybercriminel 73 467 agents, 643 459 messages, 876 salons avec historique et 13,51 Go de données. La DINUM rappelle que les conversations privées chiffrées de bout en bout restent inaccessibles même en cas d'usurpation : la fuite revendiquée porte sur les salons publics, qui ne sont pas chiffrés et accessibles à l'ensemble des utilisateurs de la plateforme.

Ce qui est revendiqué

Le détail publié par cyberattaque.org et recensé par FrenchBreaches :

  • 73 467 comptes agents référencés dans l'export.
  • 643 459 messages issus de salons publics.
  • 876 salons dont l'historique aurait été aspiré.
  • 4 002 espaces de discussion référencés.
  • 59 386 fichiers multimédias.
  • 13,51 Go de données téléchargées au total.

La période revendiquée s'étend de juin 2023 à juin 2026, soit près de trois années d'activité sur les salons publics accessibles au compte compromis.

Périmètre des administrations concernées

Tchap est déployée auprès des agents de plusieurs ministères, dont l'Intérieur, les Armées, l'Économie et Finances, la Justice, l'Éducation nationale et un ensemble d'opérateurs publics. Le compte usurpé étant rattaché à l'Éducation nationale, la visibilité de l'attaquant est limitée aux salons publics dans lesquels ce compte était présent ou pouvait s'inscrire librement. La DINUM ne confirme pas le périmètre exact côté ministériel — il dépendra des salons effectivement listés dans le compte source.

À noter — et c'est le point central pour l'évaluation du risque : Tchap repose sur le protocole Matrix avec chiffrement de bout en bout pour les conversations privées et les salons restreints. Un attaquant disposant d'un compte légitime ne peut pas lire le contenu chiffré qu'il n'a pas la clé pour déchiffrer ; il accède en revanche à toute conversation publique dont les messages sont stockés en clair côté serveur de fédération.

Statut de l'attribution

L'attaquant a revendiqué l'incident sous pseudonyme sur un forum cybercriminel. Aucune attribution formelle n'a été publiée à ce stade par la DINUM, l'ANSSI ou un éditeur tiers ; à plus forte raison, aucun acteur étatique n'est nommé. Le mode opératoire — usurpation d'identifiants vraisemblablement obtenue via infostealer, credential stuffing ou hameçonnage — est plus cohérent avec un opportuniste cybercriminel qu'avec une opération sponsorisée. Cette lecture reste à confirmer par les investigations officielles.

Le Monde Informatique, IT-Connect et Solutions Numériques reprennent le communiqué DINUM/ANSSI sans informations divergentes ; l'authenticité globale du lot n'est pas encore confirmée par l'éditeur — c'est la routine sur ce type de revendication, où l'attaquant publie un échantillon avant la mise en vente.

Que faire

  1. Agents Tchap dont le compte est rattaché à un domaine .gouv.fr actif depuis 2023 : considérer que toute participation à un salon public — y compris un salon technique inter-ministériel, un canal RH transverse ou un canal de coordination événementielle — peut avoir été exposée dans le périmètre revendiqué. Reprendre les messages publiés sur ces canaux et identifier les éléments susceptibles de constituer une information sensible (noms, contacts internes, calendriers, captures d'écran).
  2. DSI et RSSI des administrations utilisatrices : auditer les salons publics ouverts à l'échelle du domaine. Tout salon qui héberge de l'information non destinée à diffusion large devrait basculer en salon restreint chiffré — la migration ne récupère pas l'historique exposé, mais elle ferme la prochaine fenêtre d'usurpation.
  3. Politique de mot de passe et MFA : la DINUM n'a pas détaillé si le compte compromis utilisait la fédération agentconnect.gouv.fr ou un compte local. Dans tous les cas, renforcer la double authentification (clé matérielle, TOTP) sur les comptes Tchap est la mesure la plus rentable face au vecteur revendiqué.
  4. Surveillance des publications : la base est annoncée à la vente, pas en leak gratuit. Surveiller les places de marché habituelles (forums russophones, canaux Telegram cybercriminels) et préparer en amont la communication interne pour le cas où des extraits seraient diffusés.
  5. Notification CNIL et information des personnes : la DINUM a notifié la CNIL le 8 juin. Les administrations utilisatrices doivent vérifier que leurs registres RGPD intègrent cet incident et que les agents concernés sont informés par leur DRH selon le périmètre confirmé.

Contexte

C'est la deuxième compromission visible de Tchap depuis sa généralisation en 2019. La précédente — une faille permettant à un inscrit non agent de l'État d'accéder à des salons en 2019 — était une vulnérabilité d'implémentation ; la présente, une compromission de compte amont. La distinction compte : Tchap n'a pas été piratée au sens d'une faille protocolaire, c'est l'identifiant d'un utilisateur qui a servi de porte d'entrée.

L'incident s'inscrit dans une série plus large de fuites visant des plateformes B2B2G françaisesDMP / Mon espace santé et Carvivo ces dernières semaines — où le maillon faible n'est plus la plateforme elle-même mais la gestion d'identité de ses utilisateurs. L'usurpation par compte volé reste, en 2026 et hors zero-day, le vecteur dominant. Tchap n'y déroge pas.

L'enjeu de communication, côté DINUM, est de tenir la nuance entre « les conversations chiffrées restent protégées » — vrai — et « rien de critique n'a fuité » — non démontré tant que le périmètre des 876 salons revendiqués n'est pas inventorié. Les jours qui viennent diront si les administrations utilisatrices traitaient effectivement Tchap comme un canal public par défaut, privé sur demande, ou si l'inverse a été supposé.

Articles liés