Un cybercriminel affirme avoir compromis la messagerie souveraine Tchap, utilisée par l’État français pour garantir la sécurité et la souveraineté de ses échanges. Selon Futura Sciences, ce pirate revendique l’exfiltration de 643 459 messages, 59 386 fichiers et les données de 73 467 agents publics, parmi lesquels figurent des employés des ministères de l’Intérieur, des Armées, de la Justice, des Affaires étrangères et de l’Économie.

Ce qu'il faut retenir

  • 643 459 messages, 59 386 fichiers et 73 467 comptes d’agents publics revendiqués par un pirate via la messagerie Tchap.
  • Les données collectées s’étendent de juin 2023 à juin 2026, selon la période indiquée par l’auteur de l’attaque.
  • 90 documents marqués « Diffusion restreinte » ont été identifiés parmi les fichiers exfiltrés.
  • Le pirate aurait exploité un compte compromis lié à l’Éducation nationale pour accéder aux espaces collaboratifs des ministères.
  • Tchap, basée sur le protocole open source Matrix, était présentée comme une solution souveraine et ultra-sécurisée pour les administrations.
  • Aucune confirmation officielle n’a été apportée par le gouvernement à ce stade, mais l’incident soulève des questions sur la robustesse des systèmes de cybersécurité de l’État.

Une messagerie conçue pour la souveraineté numérique

Développée par la Direction interministérielle du numérique (Dinum) et opérationnelle depuis 2019, Tchap était présentée comme la solution souveraine pour échanger des informations sensibles au sein de l’administration française. Le gouvernement avait mis en avant son chiffrement de bout en bout via les algorithmes Olm et Megolm, ainsi que son hébergement exclusif sur des serveurs français, gérés par chaque ministère via la plateforme Synapse.

Cette messagerie était devenue obligatoire pour tous les cabinets ministériels depuis septembre 2025, comptant plus de 400 000 agents inscrits. Contrairement à des solutions étrangères comme WhatsApp ou Teams, Tchap échappait aux réglementations hors de France, ce qui en faisait un outil clé de la stratégie de souveraineté numérique de l’État. Pourtant, son architecture même pourrait avoir facilité cette attaque.

Un accès légitime utilisé pour extraire des données sensibles

Selon les informations rapportées par Futura Sciences, le pirate aurait exploité un compte utilisateur compromis, probablement lié à un agent de l’Éducation nationale. Une fois ce compte authentifié, il aurait pu parcourir librement les espaces collaboratifs publics des différents ministères. Le chiffrement de bout en bout ne protège en effet que les messages privés, pas les espaces ouverts accessibles depuis un compte valide.

Cette faille illustre une vulnérabilité structurelle : l’interconnexion des serveurs ministériels via Tchap, conçue pour faciliter la communication, a aussi permis à un attaquant de siphonner des données sensibles une fois un premier accès obtenu. Les 73 467 comptes concernés et les 13,51 Go de données récupérées montrent l’ampleur de l’exploitation, incluant des documents classifiés « Diffusion restreinte ».

Un historique de failles et de doutes sur Tchap

Ce n’est pas la première fois que la sécurité de Tchap est questionnée. Dès son lancement en 2019, un chercheur en cybersécurité avait réussi à créer un compte frauduleux en contournant le système de vérification des adresses e-mail, réservé aux agents de l’État. Bien qu’il n’ait pu accéder qu’aux espaces publics, cette faille avait déjà ébranlé la confiance dans la plateforme. Plus récemment, d’autres incidents ont mis en lumière les lacunes des systèmes informatiques français : en janvier 2026, la plateforme HubEE avait exposé 160 000 documents, tandis qu’en avril, France Titres (ANTS) avait subi une fuite potentiellement affectant 11,7 millions de comptes.

Ces événements s’inscrivent dans un contexte plus large de tensions géopolitiques et d’intensification des cyberattaques. La France, comme d’autres pays européens, se trouve en première ligne face à une industrialisation des offensives numériques et à l’émergence de nouvelles menaces liées à l’intelligence artificielle. La souveraineté numérique, présentée comme une priorité, semble aujourd’hui plus fragile que jamais.

« Tchap était censée être une forteresse inviolable, mais son architecture même a permis à un attaquant de naviguer librement une fois un compte compromis. Le problème ne vient pas du chiffrement, mais de la conception du système. »
— Expert en cybersécurité, cité par Futura Sciences

Les réactions et les zones d’ombre

À ce jour, le gouvernement n’a pas officiellement réagi aux affirmations du pirate, publiées sur le site FrenchBreaches. Aucune confirmation ou démenti n’a été émis concernant l’authenticité des données revendiquées ou l’étendue réelle de la fuite. Pour l’instant, les investigations se poursuivent pour déterminer si l’attaque a exploité une faille technique ou une simple négligence dans la gestion des accès.

Les 90 documents « Diffusion restreinte » mentionnés par le pirate pourraient, s’ils étaient confirmés, représenter une violation majeure de la sécurité nationale. Leur contenu et leur destination restent inconnus, tout comme l’identité de l’auteur de l’attaque. Les ministères concernés — Intérieur, Armées, Justice, Affaires étrangères, Économie — n’ont pas communiqué sur d’éventuelles mesures correctives ou des protocoles d’urgence activés.

Et maintenant ?

Plusieurs pistes devraient être explorées dans les prochaines semaines. Une enquête interne au sein de la Dinum et des ministères touchés est probable, avec une possible collaboration avec l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Une vérification exhaustive des accès et des logs des serveurs Tchap devrait être menée pour identifier d’éventuelles traces d’intrusion supplémentaires. Par ailleurs, une évaluation de la sécurité des autres messageries souveraines ou outils collaboratifs utilisés par l’État pourrait être entreprise, dans un contexte où la pression sur la cybersécurité ne cesse de croître.

D’ici la fin du mois, une réponse officielle du gouvernement est attendue, notamment sur les mesures envisagées pour renforcer Tchap ou accélérer le déploiement de solutions alternatives, comme le futur système d’exploitation sécurisé Sécurix évoqué en début d’année.

Questions en suspens et enjeux futurs

Plusieurs interrogations subsistent après cette annonce. Comment un compte utilisateur a-t-il pu être compromis sans alerter les systèmes de sécurité ? Quels types d’informations figurent dans les 90 documents « Diffusion restreinte » ? Le pirate a-t-il agi seul ou fait partie d’un réseau plus large ? Autant de questions qui pourraient trouver des réponses dans les prochaines semaines, si les autorités décident de lever le voile sur cette affaire.

Au-delà de ce cas précis, l’incident pose un défi plus large pour la France : comment concilier souveraineté numérique, facilité d’usage et sécurité absolue ? Alors que Tchap était présentée comme un rempart contre les ingérences étrangères, son piratage rappelle que aucune infrastructure n’est à l’abri d’une faille humaine ou technique. La stratégie de cybersécurité française, déjà sous le feu des projecteurs, devra probablement être révisée à la lumière de cet événement.

Tchap est une messagerie instantanée souveraine développée par la Direction interministérielle du numérique (Dinum) pour les agents de l’État. Elle repose sur le protocole open source Matrix et propose un chiffrement de bout en bout, avec des serveurs hébergés en France. Obligatoire pour les cabinets ministériels depuis septembre 2025, Tchap devait garantir une communication sécurisée et indépendante des réglementations étrangères, contrairement à des solutions comme WhatsApp ou Teams.

Selon les informations rapportées par Futura Sciences, le pirate aurait exploité un compte utilisateur compromis, probablement lié à un agent de l’Éducation nationale. Une fois authentifié, il a pu naviguer dans les espaces collaboratifs publics des ministères, où le chiffrement ne protège que les messages privés. L’interconnexion des serveurs a ainsi permis l’exfiltration massive de données, sans nécessiter de faille technique.