A smartphone wrapped in a metal chain secured with a combination padlock on a wooden surface, representing the compromise of an encrypted government messaging app
News

Tchap : 643 000 messages de la messagerie d'État exfiltrés, 90 documents Diffusion Restreinte exposés

Un compte compromis a permis l'exfiltration de 643 459 messages et 90 références Diffusion Restreinte depuis la messagerie d'État Tchap.
Sara Amin
Marketing Student • Content & Writing Enthusiast

Le 7 juin 2026, la Direction interministérielle du numérique (DINUM) a confirmé un incident de sécurité affectant Tchap, la messagerie instantanée chiffrée de l'État français. L'incident implique l'usurpation d'un compte utilisateur légitime, depuis lequel un cybercriminel affirme avoir extrait 643 459 messages, les métadonnées de 73 467 agents de l'État, 13,51 Go de données et 59 386 fichiers multimédias issus de salons publics de la plateforme. Parmi les contenus référencés figurent 90 mentions de documents portant la mention "Diffusion Restreinte", le premier niveau de classification de sensibilité du gouvernement français. La DINUM a indiqué avoir identifié et bloqué rapidement le compte compromis et travaille avec l'ANSSI sur les investigations. Les conversations privées chiffrées de bout en bout ne seraient pas concernées.

Qu'est-ce que Tchap et pourquoi l'État l'utilise

Tchap est la messagerie instantanée officielle de l'État français, développée par la DINUM et déployée à partir de 2019 pour permettre aux agents de la fonction publique de communiquer de manière sécurisée sur des sujets professionnels. La plateforme est fondée sur le protocole Matrix, un standard ouvert et décentralisé qui offre le chiffrement de bout en bout pour les conversations privées. L'adoption de Tchap s'est inscrite dans une politique de souveraineté numérique : l'objectif était de fournir aux agents publics une alternative aux messageries commerciales américaines comme Slack, WhatsApp ou Teams, dont les données sont hébergées hors du territoire national et soumises à des juridictions étrangères.

Tchap est utilisé par des agents de nombreux ministères, de collectivités territoriales et d'organismes publics. La plateforme offre deux types d'espaces : des conversations privées chiffrées de bout en bout, dont seuls les participants peuvent lire le contenu, et des salons publics ou semi-publics accessibles à l'ensemble des agents Tchap, dont les contenus ne bénéficient pas du chiffrement de bout en bout et sont stockés de manière lisible sur les serveurs de la plateforme.

Cette distinction entre espaces privés et salons publics est fondamentale pour comprendre ce qui a et ce qui n'a pas été exposé dans l'incident de juin 2026. C'est précisément parce que les salons publics sont par nature accessibles à un large cercle d'agents qu'ils ne bénéficient pas du même niveau de protection que les conversations privées chiffrées.

La nature de l'incident : une usurpation de compte, pas une faille serveur

La DINUM a confirmé que l'incident résulte de la compromission d'un compte utilisateur via une usurpation, et non d'une intrusion directe dans les serveurs de Tchap ou d'une vulnérabilité technique dans le logiciel lui-même. La méthode exacte par laquelle le compte a été compromis n'a pas été divulguée publiquement dans les communications officielles.

Cette distinction est importante pour évaluer correctement l'incident. Une faille dans le serveur Tchap lui-même aurait pu exposer tous les utilisateurs simultanément et aurait nécessité une réponse d'urgence à l'échelle de toute la plateforme. Un compte compromis, en revanche, expose uniquement ce à quoi ce compte avait accès : les salons publics dont il était membre, les fichiers partagés dans ces salons, et les métadonnées de l'activité de ce compte sur la plateforme.

Le problème d'un compte compromis sur une messagerie d'État est cependant structurellement différent d'un compte compromis sur une messagerie grand public. Un agent de l'État dispose souvent d'un accès à des espaces de travail interministériels, à des salons thématiques suivis par des décideurs de plusieurs administrations, et à des discussions professionnelles qui reflètent l'activité opérationnelle de services gouvernementaux. L'étendue de ce à quoi un compte légitime peut accéder sur Tchap est directement proportionnelle au niveau de responsabilité et à la mobilité interministérielle de son titulaire.

Ce que revendique le cybercriminel : 643 459 messages, 13,51 Go

Les chiffres avancés par le cybercriminel, qui n'ont pas encore fait l'objet d'une confirmation indépendante complète, décrivent une collecte substantielle. Les 643 459 messages extraits proviendraient de 876 salons auxquels le compte compromis avait accès, avec un historique remontant selon les horodatages visibles dans les échantillons publiés à au moins juin 2023. Les 4 002 espaces de discussion référencés désignent les salons dont le compte compromis connaissait l'existence, qu'il en soit membre actif ou non.

Les 59 386 fichiers multimédias constituent un aspect particulier de la collecte. Les fichiers partagés dans des salons Tchap peuvent inclure des présentations, des captures d'écran, des documents de travail et des pièces jointes diverses échangées dans le cadre de projets interministériels. L'ensemble des données collectées représente 13,51 Go, un volume cohérent avec plusieurs années d'activité dans des salons de travail actifs.

La période couverte, de juin 2023 à juin 2026, correspond à trois années d'histoire d'échanges professionnels dans des salons publics de l'État. Cette durée est significative non pas parce qu'un message individuel de 2023 soit nécessairement sensible, mais parce que l'analyse de l'ensemble des échanges sur trois ans peut révéler des tendances, des projets, des processus de décision et des relations entre agents que les messages individuels, pris isolément, ne rendraient pas visibles.

Les 90 références "Diffusion Restreinte" : le point sensible

"Diffusion Restreinte" est le premier niveau de la classification de sensibilité de l'information gouvernementale française. Ce niveau s'applique aux informations dont la divulgation pourrait nuire à la défense nationale ou à d'autres intérêts protégés, sans pour autant atteindre les niveaux "Confidentiel Défense" ou "Secret Défense" qui correspondent à des informations dont la compromission constituerait un dommage grave ou très grave à ces intérêts.

Les 90 références à des contenus "Diffusion Restreinte" identifiées dans les données collectées ne signifient pas nécessairement que 90 documents classifiés ont été exfiltrés dans leur intégralité. Elles peuvent correspondre à des messages faisant référence à des documents portant ce marquage, à des extraits de documents, à des discussions mentionnant explicitement la sensibilité de certains sujets, ou à d'autres formes de référence. L'analyse précise de ce que ces 90 références représentent concrètement est l'un des axes des investigations menées par l'ANSSI.

La présence même de ces références dans des salons publics de Tchap pose une question de pratique. Tchap n'est pas certifié pour la diffusion d'informations "Diffusion Restreinte" dans ses salons publics non chiffrés. L'usage de la plateforme pour discuter de tels contenus dans des espaces accessibles à l'ensemble des agents Tchap constitue une déviation par rapport aux règles de sécurité des systèmes d'information de l'État, et c'est précisément cette déviation qui explique comment des contenus sensibles se sont retrouvés dans la portée d'un simple compte utilisateur compromis.

Ce qui est protégé : le chiffrement de bout en bout des conversations privées

La DINUM a précisé que les conversations privées chiffrées de bout en bout ne sont pas concernées par l'incident. Cette affirmation repose sur la nature cryptographique du chiffrement de bout en bout tel qu'il est implémenté dans le protocole Matrix utilisé par Tchap. Dans une conversation chiffrée de bout en bout, les messages sont chiffrés sur l'appareil de l'expéditeur avant d'être envoyés au serveur, et ne peuvent être déchiffrés que sur l'appareil du destinataire en possession des clés cryptographiques correspondantes. Les serveurs de Tchap, et par extension toute personne ayant accès à un compte compromis mais pas à l'appareil physique du destinataire, ne peuvent pas lire le contenu de ces conversations.

Cette protection cryptographique est réelle et constitue la principale garantie de confidentialité pour les échanges entre agents publics qui choisissent d'utiliser les fonctions de messagerie privée de Tchap. Elle explique pourquoi la DINUM peut affirmer avec confiance que le contenu des conversations privées est protégé, même dans le contexte d'un compte utilisateur compromis ayant pu accéder à la plateforme pendant une durée significative.

Le chiffrement de bout en bout ne protège cependant pas les métadonnées : qui a communiqué avec qui, à quelle fréquence, et dans quels salons un agent était actif. Ces métadonnées, même sans accès au contenu des messages, constituent en elles-mêmes une information exploitable sur les relations professionnelles et les habitudes de travail des agents concernés.

La réponse de la DINUM et le rôle de l'ANSSI

La réponse institutionnelle a suivi le processus prévu pour les incidents de sécurité affectant les systèmes d'information de l'État. La DINUM a détecté la compromission, identifié et bloqué le compte utilisateur impliqué, et signalé l'incident à l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, qui est l'autorité nationale chargée de la cybersécurité gouvernementale en France. Les investigations ont été lancées en coordination entre les deux entités pour déterminer l'étendue exacte de ce qui a été collecté et identifier comment le compte initial a été compromis.

La communication publique de la DINUM, publiée sur numerique.gouv.fr, a été sobre et factuelle : elle confirme l'incident, décrit sa nature (usurpation de compte), précise ce qui est protégé (conversations privées), et indique les actions immédiates prises. Cette communication reflète l'approche recommandée dans les situations où les investigations sont en cours et où une communication incomplète pourrait soit alarmer inutilement les agents, soit fournir des informations utiles aux acteurs malveillants sur les lacunes de la réponse.

L'implication de l'ANSSI dans la réponse à un incident affectant Tchap est notable. L'agence intervient normalement sur les incidents touchant des opérateurs d'importance vitale ou des systèmes d'information gouvernementaux classifiés. La messagerie gouvernementale, en raison de sa position centrale dans les communications interministérielles, entre dans le périmètre que l'ANSSI considère comme stratégiquement sensible, même si Tchap n'héberge pas d'informations classifiées Confidentiel Défense. La présence de l'ANSSI dans cette investigation reflète également la reconnaissance institutionnelle que les messageries de travail des agents de l'État sont, par nature, des cibles d'intérêt pour des acteurs étatiques ou paragouvernementaux cherchant à comprendre les dynamiques internes de l'administration française.

Le protocole Matrix et les implications pour les salons publics

Matrix est un protocole de communication ouvert et décentralisé qui permet l'interopérabilité entre différentes plateformes de messagerie et qui offre le chiffrement de bout en bout comme option configurable. Son adoption par la DINUM pour Tchap était justifiée par ses garanties de confidentialité pour les conversations privées et par son caractère ouvert, qui permettait à l'État de déployer ses propres serveurs et de garder le contrôle des données.

Le protocole Matrix distingue les conversations directes et les salons chiffrés de bout en bout des "salons de groupe" ouverts, dans lesquels le chiffrement de bout en bout est techniquement possible mais optionnel et souvent désactivé par défaut pour des raisons de fonctionnalité. Dans un salon non chiffré de bout en bout, les messages sont stockés en clair sur le serveur et accessibles via n'importe quel compte membre du salon. C'est cette architecture qui explique comment un seul compte compromis a pu accéder à l'historique de 876 salons : chaque salon public auquel ce compte était inscrit conservait son historique accessible via ce compte.

La leçon structurelle pour les déploiements de Tchap et de plateformes Matrix similaires dans des contextes gouvernementaux est que la granularité du contrôle d'accès aux salons publics doit être proportionnelle à la sensibilité des discussions qui s'y tiennent. Un salon de coordination opérationnelle interministérielle n'a pas le même profil de risque qu'un canal d'annonces générales, et les politiques de rétention d'historique, de vérification des membres et de contrôle de l'accès à l'historique ancien devraient refléter cette différence.

Ce que cet incident révèle sur la sécurité des messageries d'État

L'incident Tchap de juin 2026 illustre une tension fondamentale dans le déploiement de messageries sécurisées dans des organisations à grande échelle. La sécurité cryptographique des conversations privées peut être excellente tout en laissant exposés des espaces de travail collectifs dont la gestion des accès n'a pas reçu le même niveau d'attention. Pour les acteurs qui cherchent à collecter des informations sur l'activité gouvernementale française, les salons publics Tchap représentent un accès indirect à une part significative de la coordination interministérielle, sans nécessiter de compromettre des systèmes plus protégés.

La compromission d'un compte utilisateur plutôt que d'une infrastructure serveur signifie également que la défense passe par les pratiques de sécurité des utilisateurs individuels autant que par la sécurité de la plateforme. L'authentification forte, la révocation rapide des accès des agents ayant quitté leurs fonctions, la limitation de l'historique accessible dans les salons publics, et une sensibilisation claire sur les types de contenus appropriés pour les salons publics non chiffrés sont autant de mesures qui réduisent l'impact d'une future compromission de compte. La surveillance des indicateurs de compromission sur les comptes utilisateurs de messageries gouvernementales fait partie de la réponse structurelle à ce type d'incident.

Foire aux questions

Mes conversations privées sur Tchap sont-elles exposées ?

Non, selon la DINUM. Les conversations privées chiffrées de bout en bout sur Tchap sont protégées cryptographiquement : leur contenu est chiffré sur l'appareil de l'expéditeur et ne peut être déchiffré que par l'appareil du destinataire. Même un compte compromis ne permet pas d'accéder au contenu des conversations privées chiffrées auxquelles ce compte a participé, sauf si l'attaquant avait également accès à l'appareil physique utilisé pour ces conversations. Ce qui est exposé, c'est uniquement le contenu des salons publics non chiffrés de bout en bout.

Que sont les données "Diffusion Restreinte" et quel est le risque de leur exposition ?

"Diffusion Restreinte" (DR) est le premier niveau de sensibilité de la classification de l'information gouvernementale française. Ce marquage s'applique aux informations dont la divulgation non autorisée pourrait nuire à des intérêts nationaux protégés sans toutefois constituer un dommage grave. L'exposition de 90 références DR dans les données collectées ne signifie pas nécessairement que 90 documents classifiés ont été intégralement exfiltrés : il peut s'agir de messages mentionnant des documents DR, d'extraits, ou de discussions sur des sujets sensibles. Les investigations de l'ANSSI visent précisément à déterminer la nature exacte de ces références.

Comment un simple compte utilisateur pouvait-il avoir accès à autant de données ?

La quantité de données accessible via un seul compte Tchap reflète l'usage intensif de la plateforme pour la coordination interministérielle. Un agent actif sur Tchap peut être membre de dizaines, voire de centaines de salons thématiques ou de travail. L'historique de chacun de ces salons est accessible via le compte, quelle que soit la date à laquelle les messages ont été envoyés. Les 876 salons dont l'historique a été collecté représentent l'ensemble des espaces auxquels ce compte était inscrit, accumulés sur une période pouvant aller jusqu'à plusieurs années d'utilisation active de la plateforme.

Tchap est-il toujours sûr à utiliser après cet incident ?

L'incident ne remet pas en cause la sécurité cryptographique de Tchap pour les conversations privées chiffrées de bout en bout. La DINUM a bloqué le compte compromis et les investigations sont en cours. La recommandation pratique pour les agents est de limiter les discussions sensibles aux canaux privés chiffrés plutôt qu'aux salons publics, d'activer l'authentification à double facteur sur leur compte Tchap si ce n'est pas encore fait, et de signaler à leur responsable SSI tout comportement inhabituel sur leur compte. L'usage de Tchap pour des contenus "Diffusion Restreinte" dans des salons publics devrait être évité conformément aux règles de sécurité existantes de l'État.

Quand l'ANSSI publiera-t-elle ses conclusions sur l'incident ?

L'ANSSI ne publie pas systématiquement de rapport public sur tous les incidents qu'elle traite, notamment lorsque les investigations sont en cours ou lorsque la divulgation publique des détails techniques pourrait compromettre d'autres enquêtes. Les conclusions peuvent être communiquées aux administrations concernées sans faire l'objet d'une publication publique, ou être intégrées dans des rapports annuels d'activité. Aucune date de publication n'a été annoncée au moment de la rédaction de cet article.

Le Québec envisageait d'adopter Tchap pour ses propres agents. Cela remet-il en cause ce projet ?

Des discussions sur l'adoption de Tchap par le gouvernement du Québec avaient effectivement été rapportées avant l'incident de juin 2026. Il reviendra aux autorités québécoises d'évaluer si les conclusions des investigations sur cet incident modifient leur analyse. Ce qui est clair est que l'incident de sécurité est lié à la compromission d'un compte utilisateur et à la gestion des salons publics, et non à une vulnérabilité fondamentale du protocole Matrix ou du chiffrement utilisé pour les conversations privées.

Que doivent faire les responsables SSI des administrations concernées ?

Les responsables SSI devraient dans l'immédiat vérifier si des agents de leur périmètre figurent parmi les 73 467 agents dont les métadonnées ont été collectées, et évaluer quels salons Tchap sont les plus fréquentés par leurs agents et quel type de discussions s'y tient. À moyen terme, une revue des politiques d'usage de Tchap dans l'administration, notamment sur les types de contenus appropriés dans les salons publics, sur les politiques de rétention d'historique, et sur l'application systématique de l'authentification forte, est la réponse structurelle à un incident de ce type.

Comment Defendis peut vous aider

Ce type d'incident illustre un problème structurel : les informations critiques sur une compromission active circulent d'abord dans des canaux fermés, forums clandestins et communautés privées, avant d'atteindre les équipes de sécurité par les canaux officiels. Le temps perdu dans cet écart est souvent celui où l'exploitation est la plus active et les dommages les plus importants.

Defendis surveille ces sources en continu. Votre équipe reçoit des signaux d'alerte pertinents avant que l'incident ne devienne public, avec le contexte nécessaire pour agir rapidement, sans que vos analystes aient à patrouiller eux-mêmes dans des espaces qu'ils ne devraient pas avoir à fréquenter.

Réserver une démo

About the author
Sara is a marketing student and tech writing enthusiast with an interest in digital culture, startups, and emerging technologies.

Related Articles

Discover simplified
Cyber Risk Management
Request access and learn how we can help you prevent cyberattacks proactively.