Le 7 juin 2026, l'ANSSI détecte une intrusion dans Tchap, la messagerie censée incarner la souveraineté numérique française. Le lendemain, la DINUM confirme : un compte de l'Éducation nationale a été compromis, exposant des centaines de milliers de messages et des fichiers sensibles. Cet incident s'inscrit dans une série d'activités cyber inter-étatiques récentes qui ciblent les administrations françaises avec une intensité inédite. Pour les 300 000 agents publics qui utilisaient Tchap quotidiennement, le choc est brutal. Pour les jeunes qui grandissent avec WhatsApp et Signal, l'affaire pose une question dérangeante : une application « souveraine » est-elle vraiment plus sûre ?Capture d'écran d'une conversation sur l'application Tchap, illustrant l'interface de la messagerie.
Pourquoi l'État a imposé Tchap : 300 000 agents face à l'ingérence numérique
La décision de rendre Tchap obligatoire dans l'administration ne sort pas de nulle part. Elle répond à une menace que les services de l'État jugent existentielle : la captation des données publiques par des puissances étrangères via les applications américaines.
François Bayrou signe sa circulaire le 25 juillet 2025. Le texte est sans ambiguïté : « Afin d'assurer la sécurité des conversations et des informations partagées au travers de messageries instantanées, il est demandé de déployer largement la messagerie instantanée Tchap. » L'échéance est fixée au 1er septembre 2025. Tous les agents publics, des cabinets ministériels aux services déconcentrés, doivent basculer.
Le Premier ministre justifie ce choix par le risque d'ingérence étrangère. Il vise explicitement les États-Unis et leurs lois extraterritoriales. Le Cloud Act de 2018 permet à Washington d'exiger des entreprises américaines la remise de données stockées n'importe où dans le monde. Le Patriot Act, lui, autorise des réquisitions sans contrôle judiciaire transparent. WhatsApp, Signal, Messenger, Telegram : toutes ces applis sont potentiellement des portes dérobées vers les serveurs français.
De la circulaire Borne à Bayrou : la chasse aux applications américaines dans les ministères
Le revirement stratégique commence bien avant 2025. En novembre 2023, Élisabeth Borne signe une première circulaire qui enjoint aux agents de renoncer à Messenger, Signal, Telegram et WhatsApp. À l'époque, la messagerie recommandée est Olvid, une application française qui revendique le chiffrement le plus poussé et l'absence totale de collecte de données personnelles.
Mais Olvid reste une solution de niche. Son adoption plafonne. En parallèle, la guerre en Ukraine accélère la prise de conscience : les ingérences russes dans les infrastructures critiques européennes se multiplient. Les services de renseignement français alertent sur l'utilisation des messageries américaines par des agents publics qui échangent des informations sensibles sans protection.
Bayrou tranche en juillet 2025 : Tchap devient la messagerie par défaut, même si Olvid reste autorisée pour les ministres qui l'ont déjà adoptée. Le choix est politique autant que technique : Tchap est développée en interne par la DINUM, hébergée sur les serveurs du ministère de l'Intérieur, validée par l'ANSSI. Aucune loi américaine ne peut contraindre l'État français à livrer ses données.
Matrix, Cloud de l'Intérieur, budget 1,5 M€ : les promesses de la souveraineté low-cost
Sous le capot, Tchap repose sur un socle technique open source. L'application est un fork du logiciel Element, lui-même construit sur le protocole Matrix. Ce protocole décentralisé permet le chiffrement de bout en bout via les bibliothèques Olm et Megolm. Les serveurs sont hébergés dans le cloud du ministère de l'Intérieur, ce qui garantit que les données ne quittent jamais le territoire français.
Le budget 2024 de Tchap atteint 1,5 million d'euros. Rapporté aux 300 000 utilisateurs actifs mensuels, cela représente 0,50 euro par agent. Un coût dérisoire comparé aux abonnements aux suites collaboratives américaines. La DINUM vante cette frugalité comme une preuve d'efficacité.
Mais ce choix low-cost a des implications. Tchap ne propose pas d'appels audio ni vidéo, ce qui réduit la surface d'attaque mais limite aussi les fonctionnalités. Surtout, l'architecture Matrix prévoit par défaut que les salons publics ne sont pas chiffrés de bout en bout. Cette décision de conception, prise pour faciliter la découverte et la modération des espaces de discussion, va se révéler être un angle mort critique.
73 467 comptes et 643 000 messages : l'ampleur de la fuite de données Tchap
Les chiffres tombent le 8 juin 2026, et ils donnent le vertige. Le pirate, qui se fait appeler « misere », publie sur le dark web une revendication détaillée. Selon ses dires, il a exfiltré les données de 73 467 comptes d'agents publics, récupéré 643 459 messages, et téléchargé 59 386 fichiers représentant 13,51 Go de données.
La DINUM confirme l'incident dans un communiqué officiel. L'ANSSI avait détecté l'intrusion la veille, dimanche 7 juin. Le compte compromis a été immédiatement bloqué. Mais le mal est fait : les données couvrent une période de trois ans, de juin 2023 à juin 2026. Soit quasiment toute la durée de vie opérationnelle de Tchap.Page de connexion de Tchap, la messagerie sécurisée des agents de l'État
Les volumes sont massifs, mais c'est la nature des informations exposées qui inquiète le plus. Parmi les 876 salons touchés, on trouve des espaces dédiés au droit pénal, à l'intelligence artificielle, au médical et à la sécurité civile. Des échanges qui portent sur des enquêtes en cours, des protocoles de soins, des décisions stratégiques.
Le compte Éducation nationale : le talon d'Achille qui a tout fait sauter
Le point d'entrée de l'attaque est un compte utilisateur rattaché à l'Éducation nationale. Ce ministère emploie 243 000 agents, ce qui en fait l'une des plus grosses bases d'utilisateurs de Tchap. Avec une telle masse, le niveau de formation à la cybersécurité est inévitablement hétérogène. Certains agents utilisent des mots de passe faibles, d'autres tombent dans des pièges de phishing.
Le pirate a exploité cette vulnérabilité humaine. Selon les analyses techniques publiées par le blog Ostraca, l'attaque relève de l'ingénierie sociale : un agent a probablement cliqué sur un lien frauduleux ou saisi ses identifiants sur une page contrefaite. Une fois dans la place, « misere » a utilisé le compte compromis pour naviguer dans les salons publics de Tchap.
Le périmètre touché est préoccupant. Les salons « Diffusion restreinte », censés être réservés à un cercle limité d'agents habilités, figurent parmi les espaces consultés. Le pirate affirme avoir eu accès à 90 salons de ce type. La DINUM nuance : ces salons ne contenaient pas d'informations classifiées, mais leur simple existence dans le périmètre de la fuite pose la question de la compartimentation des accès.
Trois ans d'échanges, 13,51 Go de fichiers : le butin du pirate « misere »
Les données exfiltrées ne se limitent pas aux messages textuels. Le pirate a téléchargé des fichiers multimédias, des documents administratifs, des présentations, des tableurs. Au total, 59 386 fichiers pour 13,51 Go. Une masse d'informations qui permet de reconstituer des circuits de décision, des relations hiérarchiques, des projets en cours.
Le pirate se vante d'avoir eu accès à « la totalité des salons Diffusion restreinte ». Cette revendication contredit partiellement la communication officielle de la DINUM, qui affirme que seuls les salons publics ont été compromis. Dans les faits, la frontière entre salon public et salon restreint est poreuse sur Tchap : un salon peut être public par défaut, puis restreint par décision de ses modérateurs, sans que cette bascule soit rétroactive sur les messages déjà échangés.
Les horodatages des échantillons publiés confirment que le pirate a eu accès à des conversations étalées sur trois ans. Des échanges qui portent sur des sujets aussi variés que la gestion de crise sanitaire, les marchés publics, les réformes législatives. Rien de classifié, mais assez pour nourrir des opérations d'ingérence.
Chiffrement de bout en bout ou vulnérabilité humaine ? Ce que la faille Tchap révèle vraiment
La première réaction des experts est de rassurer : le chiffrement de Tchap n'a pas été cassé. Les bibliothèques Olm et Megolm, qui assurent le chiffrement de bout en bout des conversations privées, n'ont pas été compromises. Aucune faille zero-day n'a été exploitée dans le protocole Matrix.
Mais cette bonne nouvelle technique cache une réalité plus inquiétante. L'attaque n'a pas besoin de briser la crypto : elle a simplement contourné le problème en volant les clés d'un utilisateur légitime. C'est la différence entre forcer une porte blindée et se faire ouvrir par quelqu'un qui a le badge.
Ni faille zero-day ni crypto cassée : le piratage Tchap est une leçon de gestion d'identité
Le pirate « misere » n'a pas découvert une vulnérabilité inédite dans le code de Tchap. Il n'a pas non plus déchiffré les messages privés protégés par l'E2EE. Il a simplement récupéré les identifiants d'un agent de l'Éducation nationale, probablement via un hameçonnage ciblé ou un rejeu de session.
Une fois connecté avec ce compte légitime, il avait les mêmes droits que l'agent original. Il pouvait consulter les salons publics, télécharger les fichiers partagés, lire les messages non chiffrés. Le protocole Matrix, par conception, fait confiance à l'utilisateur authentifié. Cette confiance a été trahie.
Les experts d'Ostraca soulignent que cette attaque est un cas d'école de ce que les anglophones appellent l'« identity-based attack ». Le maillon faible n'est pas la technologie, c'est l'humain. Et dans une administration de 300 000 agents, il suffit d'une seule personne mal formée ou distraite pour ouvrir la brèche.
Salons publics non chiffrés et rate-limiting absent : les angles morts que tout le monde a ignorés
Si le chiffrement de bout en bout a tenu, les salons publics de Tchap posent un problème structurel. Dans l'architecture Matrix, les salons publics ne sont pas chiffrés par défaut. Cette décision de conception vise à permettre la découverte des espaces de discussion et la modération des contenus. Mais dans le contexte d'une messagerie d'État, elle crée une surface d'attaque considérable.
Le pirate a pu naviguer dans ces salons publics sans rencontrer de résistance. L'annuaire des utilisateurs était énumérable : il a pu lister les comptes, identifier les agents, cartographier les relations. Les endpoints de téléchargement des fichiers n'avaient pas de rate-limiting, ce qui a permis d'extraire 13,5 Go de données en une seule session.
Ces angles morts sont connus des experts en sécurité depuis des années. Sur Matrix, la gestion des salons publics est un sujet récurrent de débat. Mais dans l'administration française, personne n'a jugé prioritaire de corriger ces faiblesses. Le pari de la souveraineté technique a occulté les problèmes de sécurité opérationnelle.
Tchap, Signal, WhatsApp : le match de la sécurité décrypté pour les 16-25 ans
Pour les jeunes qui utilisent WhatsApp au quotidien et Signal pour les conversations sensibles, l'affaire Tchap soulève une question pratique : quelle messagerie est vraiment la plus sûre ? La réponse est moins simple que les discours officiels ne le laissent entendre.
Chiffrement, métadonnées, logs : qui voit vraiment quoi ?
Comparons les trois applications sur des critères concrets. Signal chiffre tous les messages, appels et fichiers en E2EE par défaut, en utilisant le protocole Signal Protocol. WhatsApp utilise le même algorithme depuis 2016, également par défaut. Les deux applications ne conservent pas les messages sur leurs serveurs une fois livrés.
Tchap, lui, propose un chiffrement optionnel. Les salons privés sont protégés par Olm/Megolm, mais les salons publics ne le sont pas. La messagerie conserve les messages sur ses serveurs pour permettre la synchronisation entre appareils. Cette différence est cruciale : sur Signal, même si votre compte est piraté, l'attaquant ne peut pas lire les messages passés. Sur Tchap, un compte compromis donne accès à l'historique des salons publics.
Autre différence : les métadonnées. Signal et WhatsApp minimisent les logs de connexion. Tchap, hébergé sur les serveurs du ministère de l'Intérieur, conserve des journaux d'accès. En théorie, cela permet de tracer les connexions. En pratique, cela crée aussi une base de données exploitable en cas d'intrusion.
Signal et WhatsApp proposent des appels audio et vidéo chiffrés. Tchap n'en offre pas. Moins de fonctionnalités signifie moins de surface d'attaque, mais aussi moins d'usages possibles. Les agents qui ont besoin de téléphoner doivent utiliser une autre solution.
L'illusion de l'application « souveraine » : le trade-off politique contre sécurité réelle
Le paradoxe de Tchap est là. L'État a choisi cette messagerie pour se protéger des ingérences étrangères, notamment américaines. L'hébergement en France et le code open source devaient garantir qu'aucune puissance étrangère ne pourrait accéder aux données.
Mais la faille n'est pas venue de l'extérieur. Elle est venue de l'intérieur : un compte mal géré, des salons publics non protégés, une absence de défense contre l'usurpation d'identité. Les activités cyber inter-étatiques récentes montrent que les attaquants privilégient de plus en plus cette voie : plutôt que de casser la crypto, ils corrompent l'utilisateur.
Pour les jeunes qui lisent cet article, la leçon est claire : l'argument de la souveraineté ne suffit pas. Une application peut être hébergée en France, validée par l'ANSSI, développée en open source, et pourtant vulnérable. La sécurité réelle dépend autant des pratiques des utilisateurs que de la technologie.
2026 : l'année du tsunami numérique pour les données des Français
Le piratage de Tchap n'est pas un accident isolé. Il s'inscrit dans une tendance lourde que les experts appellent le « tsunami numérique ». Les données des Français fuient de toutes parts, et l'administration est en première ligne.
En mai 2026, une enquête du Monde révélait l'ampleur du phénomène. La CNIL a enregistré 6 167 fuites de données en 2025, soit une hausse de 10 % sur un an. Une soixantaine de brèches ont touché au moins un million de personnes chacune sur les deux dernières années. Les entités concernées vont du ministère de l'Intérieur à France Travail, en passant par l'Assurance maladie et les opérateurs télécoms.
France Travail, URSSAF, Éducation nationale : 6 167 incidents en 2025, record absolu
Les chiffres donnent le tournis. France Travail a subi une fuite massive touchant des millions de demandeurs d'emploi. L'URSSAF a vu des données de cotisants exposées. L'Éducation nationale, déjà fragilisée par le piratage de Tchap, avait précédemment perdu les données de 243 000 agents.
La procureure adjointe Johanna Brousse, qui dirige l'unité cyber du parquet de Paris, indique que ses équipes ouvrent jusqu'à dix enquêtes par semaine. Dix enquêtes qui concernent des fuites de données, des ransomwares, des intrusions dans des systèmes d'information. Un rythme qui témoigne de la systématisation des attaques.
Les fragilités sont les mêmes partout : gestion des identités défaillante, dépendance aux fournisseurs externes, sous-investissement dans la formation des agents. Tchap n'a fait que révéler, à une échelle spectaculaire, des problèmes qui minent l'ensemble de l'administration.
Des agents aux citoyens : 9 Français sur 10 exposés, la normalisation du risque
Clément Domingo, connu sous le pseudo Saxx, est l'un des experts en cybersécurité les plus suivis de France. Son constat est alarmant : « 9 Français sur 10 avec une identité numérique ont eu leurs données personnelles volées en ligne. »
Ce chiffre inclut des fuites dont les victimes sont des citoyens ordinaires, pas seulement des agents publics. Les données de France Travail, de l'URSSAF, de l'Assurance maladie permettent aux cybercriminels de monter des campagnes de phishing ultra-ciblées. Ils connaissent votre nom, votre adresse, votre numéro de sécurité sociale, parfois même vos revenus.
Le risque est systémique. Une fois vos données dans la nature, vous pouvez être victime d'usurpation d'identité, de fraudes aux prestations sociales, de chantage. Les jeunes, qui ont souvent une présence numérique dense, sont particulièrement exposés. Le piratage de Tchap n'est que la partie émergée d'un iceberg qui menace tout le monde.
La souveraineté ne suffit pas : ce que l'affaire Tchap change pour nous tous
L'affaire Tchap nous force à reconsidérer ce que signifie vraiment la sécurité numérique. Pendant des années, le débat public s'est focalisé sur la question de la souveraineté : où sont hébergées les données, quelle loi les protège, quel pays peut les réquisitionner. Ces questions sont importantes, mais elles occultent un problème plus fondamental.
Le pirate « misere » n'a pas eu besoin de casser la crypto de Tchap. Il n'a pas eu besoin de soudoyer un administrateur système. Il n'a pas eu besoin d'exploiter une faille zero-day. Il lui a suffi de convaincre un agent de l'Éducation nationale de lui donner ses identifiants. C'est une leçon qui vaut pour toutes les messageries, y compris celles que vous utilisez.
Les activités cyber inter-étatiques récentes montrent que les attaquants ont parfaitement compris cette faiblesse. Ils ne perdent plus leur temps à chercher des vulnérabilités techniques complexes. Ils ciblent l'humain, parce que l'humain est toujours le maillon le plus fragile.
Les leçons concrètes pour les agents et les citoyens
La première réponse, c'est la formation. Chaque agent public, chaque citoyen, devrait connaître les bases de l'hygiène numérique : ne pas cliquer sur un lien suspect, activer la double authentification, utiliser des mots de passe différents pour chaque service. Ces gestes simples bloquent 80 % des attaques.
La deuxième réponse, c'est la compartimentation. Les salons publics de Tchap ne devraient pas contenir d'informations sensibles. Les fichiers critiques ne devraient pas être accessibles sans authentification renforcée. L'architecture de la messagerie doit être repensée pour limiter les dégâts en cas de compromission d'un compte.
La troisième réponse, c'est l'acceptation du risque. Aucune messagerie n'est invulnérable. Tchap, Signal, WhatsApp : toutes ont des forces et des faiblesses. L'important n'est pas de choisir l'application parfaite, mais d'utiliser celle qu'on a choisie avec les bonnes pratiques.
Ce que l'administration doit corriger d'urgence
L'ANSSI et la DINUM doivent tirer les conséquences de cette attaque. Plusieurs mesures techniques s'imposent : le chiffrement par défaut de tous les salons, y compris publics ; la mise en place de rate-limiting sur les endpoints de téléchargement ; la désactivation de l'énumération des annuaires.
Mais le chantier le plus urgent est la gestion des identités. L'authentification multifacteur doit devenir obligatoire pour tous les comptes Tchap. Les sessions doivent être limitées dans le temps. Les accès aux salons sensibles doivent être revus avec des listes de contrôle d'accès plus strictes.
Le gouvernement a annoncé un audit complet de la sécurité de Tchap. Mais les agents, eux, n'attendent pas : beaucoup sont retournés vers Signal ou WhatsApp, jugeant que la messagerie « souveraine » ne tenait pas ses promesses.
Conclusion : la souveraineté numérique ne se décrète pas, elle se construit
Le piratage de Tchap est un avertissement. Il nous rappelle que la souveraineté numérique ne se décrète pas, elle se construit. Et qu'elle ne vaut rien sans une éducation numérique de masse. C'est le seul véritable rempart contre la vague qui déferle.
Les 73 467 comptes exposés, les 643 459 messages exfiltrés, les 13,51 Go de fichiers volés : ces chiffres ne sont pas seulement une défaite technique. Ils sont le symptôme d'une approche qui a privilégié le discours politique sur la sécurité réelle. L'État a voulu se protéger des ingérences étrangères en changeant d'outil, sans changer les pratiques.
Pour les jeunes qui lisent cet article, la leçon est double. D'abord, aucune application n'est magique : la sécurité dépend de ce que vous faites, pas de ce qu'on vous vend. Ensuite, la souveraineté numérique est un combat de tous les jours, pas un label qu'on appose sur un logiciel. Elle se gagne dans les salles de classe, les formations continues, les audits de sécurité, les correctifs déployés dans l'urgence.
Le tsunami numérique annoncé par les experts n'est pas une fatalité. Mais pour l'endiguer, il faudra bien plus qu'une messagerie « souveraine ». Il faudra une prise de conscience collective. Et elle commence aujourd'hui.
