La messagerie gouvernementale française Tchap compromise via un compte détourné (2026)
Les autorités françaises ont confirmé qu'un attaquant avait détourné un compte utilisateur de Tchap pour accéder à des salons publics de la messagerie sécurisée de l'État, l'intrus affirmant avoir aspiré des dizaines de milliers de comptes et des centaines de milliers de messages.
- Victime
- Tchap (DINUM)
Le 9 juin 2026, la Direction interministérielle du numérique (DINUM) a confirmé que Tchap — la messagerie sécurisée de l'État français destinée aux agents publics, ministères et agences publiques — avait été compromise après le détournement d'un compte utilisateur légitime par un attaquant. L'agence nationale de cybersécurité, l'ANSSI, a détecté l'intrusion le 7 juin 2026, et la DINUM a indiqué avoir immédiatement bloqué le compte concerné et lancé une enquête.
Ce qui s'est passé
Tchap repose sur le protocole open source Matrix et a été développée pour que les communications gouvernementales s'appuient sur une infrastructure gérée par l'État français plutôt que par des fournisseurs technologiques étrangers. Selon la DINUM, l'attaquant a obtenu l'accès via un compte utilisateur compromis — vraisemblablement obtenu par ingénierie sociale d'un compte lié à l'environnement éducatif de Tchap — et non en brisant la cryptographie de la plateforme.
Les responsables ont souligné que les conversations privées chiffrées de bout en bout n'ont pas été touchées. La DINUM a indiqué que les informations accessibles via le compte détourné se limitaient aux salons publics, ouverts à tous les utilisateurs de Tchap et dont les messages ne sont pas chiffrés.
Revendications de l'attaquant (non vérifiées)
L'intrus présumé a affirmé avoir obtenu 73 467 comptes utilisateurs, 643 459 messages, 876 salons avec historique des messages et 59 386 fichiers multimédias totalisant environ 13,5 Go, ainsi que des références à des documents marqués « Diffusion Restreinte » — une classification gouvernementale française à diffusion restreinte. Aucune de ces affirmations n'a été vérifiée de manière indépendante, et l'ampleur réelle des données consultées reste incertaine.
Pourquoi c'est important
Tchap a précisément été créée pour donner au gouvernement français une souveraineté numérique sur ses communications internes sensibles ; une compromission — même limitée aux salons publics — est donc politiquement sensible. L'incident rappelle que la cryptographie d'une plateforme ne vaut que ce que valent les comptes et les parcours d'inscription qui l'entourent : le chiffrement de bout en bout a protégé les conversations privées, mais un seul compte détourné a tout de même ouvert à un tiers une fenêtre sur un système de communication de l'État.
Chronologie
L'agence nationale de cybersécurité ANSSI détecte la compromission d'un compte Tchap.
La DINUM confirme publiquement l'intrusion ; l'incident est largement relayé et une enquête est ouverte.
Sources
- helpnetsecurity.comhttps://www.helpnetsecurity.com/2026/06/09/tchap-french-government-secure-messaging-platform-breach/
- theregister.comhttps://www.theregister.com/security/2026/06/09/france-probes-compromise-of-gov-messaging-platform-after-account-hijack/5252717
- bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/french-govt-messaging-service-breached-in-account-hijacking-attack/
- scworld.comhttps://www.scworld.com/brief/french-government-messaging-platform-tchap-breached-via-hijacked-account