Piratage de Tchap : entre communication officielle rassurante et revendications spectaculaires d'un hacker

Le 8 juin 2026, la compromission de Tchap, la messagerie instantanée sécurisée dédiée aux agents publics français, a été officiellement confirmée par la Direction interministérielle du numérique (DINUM). L'incident, révélé la veille par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), met en lumière les tensions entre le récit institutionnel et celui d'un cybercriminel revendiquant un accès massif aux données. Selon Numerama, cet épisode illustre la difficulté persistante à établir une vérité claire dans les cyberattaques ciblant les outils étatiques.

Un incident limité selon les autorités, mais des questions persistent

L'ANSSI a identifié dès le 7 juin 2026 une compromission de Tchap, messagerie chiffrée des agents de l'État, consécutive à l'usurpation d'un compte utilisateur. La DINUM a réagi le lendemain en minimisant l'impact de l'attaque. « Le compte à l'origine des requêtes malveillantes a été identifié et immédiatement bloqué », a indiqué l'institution. Selon ses éléments, l'historique des conversations privées, chiffrées de bout en bout, n'aurait pas été compromis. Seuls les échanges des salons publics — accessibles par conception à l'ensemble des utilisateurs — auraient pu être consultés.

La DINUM a notifié la Commission nationale de l'informatique et des libertés (CNIL) et alerté les agents concernés. Sa communication s'inscrit dans une logique classique après une cyberattaque : rassurer l'opinion publique et les utilisateurs. Pourtant, certains aspects restent flous. Le communiqué ne précise pas comment le compte a été compromis, ni si des mesures supplémentaires auraient pu empêcher cette intrusion. Autant dire que, pour l'instant, la DINUM se contente d'affirmer que « l'intrusion est maîtrisée ».

Un cybercriminel mise sur l'effet d'annonce pour valoriser ses données

Pendant que les autorités tentent de limiter la portée de l'incident, un hacker opérant sous le pseudonyme « misere » a choisi une stratégie inverse sur le dark web. Dès le 8 juin 2026, il a revendiqué un piratage d'une ampleur bien supérieure à celle décrite par la DINUM. Selon ses propos, 73 467 comptes d'agents publics, 643 459 messages, 876 salons, 59 386 fichiers représentant 13,5 Go de données — couvrant la période de juin 2023 à juin 2026 — et 90 occurrences de documents estampillés « Diffusion restreinte » auraient été dérobés.

Le hacker affirme également avoir eu accès à des salons regroupant des agents de plusieurs ministères régaliens : Intérieur, Finances, Armées, Justice et Éducation nationale. « J'ai déjà trouvé quelques très bonnes prochaines cibles », déclare-t-il, laissant planer la menace de nouvelles attaques. Cette communication obéit à une logique bien connue sur les forums du dark web : maximiser la valeur perçue d'un lot de données pour en augmenter le prix de revente ou la notoriété du vendeur. Gonfler les chiffres ou citer des ministères sensibles fait partie de la stratégie de valorisation.

Reste que ces revendications doivent être prises avec prudence. Vérifier indépendamment les données est un exercice complexe. L'accès aux fichiers revendiqués est généralement conditionné à un paiement. Quant aux éventuels échantillons publiés, ils peuvent être fabriqués ou partiels, comme cela a déjà été observé lors d'autres incidents similaires. Entre exagération du vendeur et minimisation de l'administration, la vérité semble encore hors de portée.

Tchap, pilier de la souveraineté numérique française, dans le viseur

Depuis juillet 2025, Tchap est devenu le canal officiel d'échange des agents publics et des cabinets ministériels. Son rôle central dans la stratégie de souveraineté numérique française en fait une cible privilégiée pour les cybercriminels. Dans ce contexte, l'incident du 7 juin 2026 prend une dimension particulière. L'attaque n'a pas exploité une faille technique du chiffrement de Tchap, mais bien une usurpation de compte utilisateur. Cela signifie que l'intrusion repose sur une défaillance humaine ou organisationnelle, et non sur une vulnérabilité logicielle.

L'impact potentiel reste conséquent. Avec environ 300 000 agents inscrits sur la plateforme, un seul compte compromis peut permettre de cartographier une partie significative du tissu interministériel. Les salons publics non chiffrés, accessibles à tous les utilisateurs, contiennent des métadonnées sensibles : adresses email professionnelles, noms d'agents, fichiers partagés ou encore organigrammes implicites. Autant d'informations qui, même sans accès au contenu privé, peuvent servir à des attaques ultérieures ou à des campagnes de désinformation.

Les investigations en cours détermineront la réalité des faits

Pour l'heure, les autorités s'en tiennent à leur version. L'ANSSI et la DINUM mènent des investigations approfondies, notamment via l'analyse des journaux d'événements. Ces traces techniques permettront de reconstituer le parcours de l'attaquant et de déterminer précisément quelles données ont été consultées. C'est à l'issue de ces analyses que la vérité de cet incident prendra forme.

En attendant, la mécanique cyber suit son cours. Entre communication officielle rassurante et revendications spectaculaires, la divergence des récits laisse planer un doute légitime. Les utilisateurs de Tchap, de même que les citoyens, attendent des réponses claires. L'administration, elle, devra peut-être revoir ses protocoles de sécurité pour éviter qu'un scénario similaire ne se reproduise. Car dans un contexte où la souveraineté numérique est un enjeu stratégique, chaque faille peut avoir des répercussions bien au-delà des écrans.

En définitive, cet incident rappelle une fois de plus que la sécurité numérique ne repose pas uniquement sur la robustesse des outils, mais aussi sur la vigilance des utilisateurs et la réactivité des administrations. La souveraineté numérique française, affichée comme une priorité, devra désormais composer avec cette réalité.