Tchap, la messagerie instantanée réservée aux agents publics français et intégrée à LaSuite, a été la cible d’une intrusion ! Encore un coup dur pour les services numériques de l’État avec ce nouvel incident de sécurité confirmé par la Direction interministérielle du numérique (DINUM). Voici ce que l’on sait.

Pour rappel, Tchap est la messagerie instantanée chiffrée du secteur public, conçue et gérée par l’Administration française. Tchap se présente comme une alternative à des solutions comme Slack, Discord et d’une certaine manière à Microsoft Teams. Les agents peuvent échanger à plusieurs dans des salons privés ou discuter entre eux via des conversations privées. L’application Tchap fait partie de la suite d’outils baptisée LaSuite, aujourd’hui utilisée mensuellement par plus de 400 000 utilisateurs actifs.

Une intrusion détectée par l’ANSSI via un compte compromis

L’alerte a été donnée en fin de week-end. Le 7 juin 2026, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a repéré une activité anormale sur Tchap, suite à la compromission du compte d’un agent. Cet incident a été confirmé par la DINUM après avoir fait parler de lui sur les réseaux sociaux, notamment parce qu’il y a eu des revendications sur le Dark Web de la part du pirate.

“À ce stade, le compte à l’origine des requêtes malveillantes a été identifié. Il a été immédiatement bloqué afin de supprimer l’accès persistant de l’attaquant et permettre une analyse approfondie des données auxquelles il a pu accéder.”, précise la DINUM dans son communiqué.

L’attaquant a donc mis la main sur le compte d’un agent, ce qui lui a permis d’accéder à l’espace Tchap de cette personne. Même si rien n’est précisé à ce sujet, il est probable que ce soit un compte volé via un logiciel malveillant de type infostealer ou une campagne de phishing.

Quel impact réel sur les données et les messages exfiltrés ?

Depuis le compte de l’agent, le pirate a eu accès à toutes les conversations privées, ainsi qu’aux salons publics auxquels avait accès cet agent. Dit comme ça, difficile d’imaginer le nombre de messages que cela peut représenter. Toutefois, d’après les revendications du pirate sur le Dark Web, il aurait mis la main sur plus de 643 000 messages échangés au cours des 3 dernières années, ce qui concerne au total 70 000 agents de l’État.

Si la DINUM n’a pas confirmé ces chiffres, elle a apporté des clarifications sur l’organisation des données dans Tchap :

• Les conversations privées : elles sont chiffrées. Même en cas d’usurpation d’identité, l’historique des échanges privés et chiffrés demeure techniquement inaccessible. L’organisme insiste sur ce point : “Les conversations privées des agents demeurent protégées.”
• Les conversations publiques : il s’agit de forums ou de salons publics qui, par conception, sont ouverts à l’ensemble des utilisateurs de Tchap et ne sont pas chiffrés.

“Les investigations se poursuivent, notamment par l’étude des journaux d’événements (logs), pour identifier les conversations auxquelles l’attaquant a pu accéder et la nature des données exfiltrées.”, précise la DINUM.

S’il y a eu un export de données, ce sont surtout les données des conversations publiques qui sont exposées et exploitables. À en croire la DINUM, les messages privés sont chiffrés et donc illisibles par le pirate, mis à part pour les messages qu’il a pu consulter en utilisant le compte Tchap de l’agent.

De son côté, la DINUM a également transmis un message à l’ensemble des agents pour leur rappeler la règle d’or d’utilisation de la plateforme Tchap, à savoir : “Conformément aux modalités d’utilisation de Tchap, aucune information personnelle, sensible ou couverte par le secret professionnel ne doit y être échangée : ces échanges doivent être réservés aux salons privés.”

Enfin, il est important de comprendre que Tchap n’a pas été piraté directement. Ici, il n’est pas question d’une faille logicielle, mais de la compromission d’un compte offrant un accès légitime à la plateforme. Une question se pose malgré tout : l’authentification multifacteur était-elle activée sur le compte de l’agent ?