Programmez! #239 PDF pour nos abonnés papier

Abonnés papier : en raison de la situation due au coronavirus, des retards sont à prévoir en ce qui concerne la distribution de Programmez! #239 par La Poste. C'est pourquoi nous mettons Programmez! #239 PDF à disposition dans votre compte utilisateur sous un onglet dédié en attendant. Pour y accéder, il vous suffit de saisir votre n° d'abonné (ou éventuellement le ressaisir comme pour l'accès aux archives) dans votre compte utilisateur, si ce n'est pas déjà fait. Si vous ne connaissez par votre numéro d'abonné, vous pouvez l'obtenir à cette page.

En cas de difficultés, contactez le webmaster à partir du formulaire de contact de ce site.

Fail : le gouvernement français lance sa messagerie d'Etat sécurisée Tchap... avec une faille de sécurité

Par:
fredericmazue

mar, 23/04/2019 - 16:23

Le gouvernement français a estimé que les services de l'Etat devaient être dotés d'une messagerie instantanée cryptée et que des Telegram et autres Whatsapp ne pouvaient convenir pour des raisons de sécurité. Jusqu'ici tout va bien.

Voilà donc la messagerie d'Etat cryptée Tchap développée, et lancée le 18 avril. Cette messagerie intrigue le chercheur en sécurité Baptiste Robert. Il commence à regarder, et une heure et demi après, il publie un tweet ravageur : n'importe qui peut se connecter à cette messagerie d'Etat cryptée et sécurisée.

Baptiste Robert explique en détail comment il a procédé dans ce billet.

En résumé, il a décompilé l'application Tchap Android, a constaté que c'est un fork de l'application Riot, qu'il est facile de désactiver le certificat de sécurité, et que les serveurs du gouvernement sont clairement identifiés dans le fichier AndroidManifest.xml.

Baptiste choisit de s'en prendre au serveur de l'Elysée. Il lui soumet une adresse mail bidouillée forgée à partir de presidence @ elysee.fr. Le serveur ne fait pas de vérification sérieuse de l'adresse et envoie un mail d'invitation à Baptiste.

Le voilà dans la place...

Dès le lendemain, une porte-parole de la direction interministérielle du numérique et du système d'information et de communication de l'Etat (DINSIC) a indiqué : "Cette faille de sécurité a été identifiée et corrigée" (dès le 18 avril).

Le gouvernement a aussi tenu les propos rassurants d'usage : Baptiste Robert est le seul à avoir exploité la faille et aucune information confidentielle n’a été compromise. Par ailleurs Tchap n’a pas vocation à traiter d’informations très sensibles.

Nous voilà pleinement rassurés :-)