La messagerie Tchap, utilisée par les agents publics pour échanger des informations professionnelles, a été touchée par un incident de sécurité, avec une fuite de données « maîtrisée », a annoncé la Direction interministérielle du numérique (Dinum) le 8 juin.
L’Agence nationale de la sécurité des systèmes d’information (Anssi) a détecté dimanche 7 juin « une compromission du service Tchap à la suite d’une usurpation de compte », selon la Dinum. Le compte à l’origine des requêtes malveillantes a « été identifié » et « immédiatement bloqué afin de supprimer l’accès persistant de l’attaquant », a précisé la Dinum. L’incident a été notifié à la Commission nationale informatique et libertés (Cnil). La Dinum assure que « même dans le cas d’une usurpation de compte, l’historique des conversations privées et chiffrées n’est pas accessible » et que les échanges potentiellement consultés se limitent « au contenu des conversations publiques ».
Le nombre exact de comptes compromis n’a pas été communiqué. En septembre 2025, le gouvernement avait généralisé l’usage de Tchap pour l’ensemble des agents publics afin de limiter le « risque croissant d’interception de leurs communications » et de se protéger contre les cyberattaques. L’outil est actuellement utilisé par environ 300 000 agents. Le compte compromis utilisé pour l’attaque provenait, selon le cybercriminel revendiquant l’accès, du ministère de l’Éducation nationale et aurait permis l’exploitation de plusieurs fonctionnalités de la messagerie.
Analyse et portée de l’attaque contre Tchap
Le site spécialisé FrenchBreaches rapporte que plus de 643 000 messages de 73 000 agents, présents dans 976 salons de discussions, auraient été exposés. La Dinum et l’Anssi confirment que la compromission résulte de l’usurpation d’un compte utilisateur et non d’une faille technique de Tchap. Les investigations se poursuivent pour déterminer l’étendue exacte des conversations et documents concernés.
La Dinum a rappelé aux utilisateurs que « une conversation publique (ou « salon public ») peut être trouvée et rejointe par tout utilisateur et que son contenu n’y est pas chiffré ». Les échanges sensibles ne doivent donc pas être partagés dans ces espaces. Cet incident s’ajoute à une série de cyberattaques ciblant des comptes d’agents publics, notamment au ministère de l’Intérieur, au ministère des Sports et à l’Agence nationale des titres sécurisés (ANTS).
Le Premier ministre avait imposé l’usage de Tchap dans les ministères en juillet 2025. La messagerie vise à sécuriser les échanges professionnels et à limiter les risques liés aux applications grand public, telles que WhatsApp ou Telegram. L’enquête en cours par la Dinum et l’Anssi permettra d’évaluer précisément le périmètre de la compromission et de confirmer l’intégrité des échanges chiffrés privés.
