Afin de ne pas dépendre de grosses sociétés américaines et voir les données stockées à l'étranger, le gouvernement français a fait développer une application de messagerie instantanée qui lui est propre.
Elle n'est pas un système de communication ultra sécurisée, mais un moyen d'échanger rapidement au sein des instances dirigeantes, en temps réel comme avec WhatsApp et Telegram.
Appelé Tchap, ce service est en beta. Il vient d'être laminé par un chercheur en sécurité qui a réussi à se connecter et à suivre les échanges internes sans grandes difficultés.

Les autorités annoncent maintenant qu'elles vont travailler avec lui pour sécuriser leur messagerie. Il faudra beaucoup de travail étant donné qu'il semble que la sécurité n'a pas été une priorité sur ce projet basé sur le projet open source Matrix.

Lien vers le billet original

En même temps quand ils parlent en place publique personne ne les écoutent, alors aller se faire chier à les pirater …

Bonjour,
J’aimerais bien comprendre comment est-il possible, que, seulement quelques heures après son lancement, on puisse mettre en évidence une faille ?

J’espère que les sociétés qui ont développé Tchap, ne verront pas la couleur de l’argent des contribuables, le nôtre , Ça me rappelle le logiciel de paye des armées, qui n’a jamais fonctionné, j’espère (mais je ne le crois pas) que les sociétés qui l’ont fourni ont dû rembourser. (À moins que ce soit du copinage)

Ces sociétés ne sont que la maîtrise d'oeuvre, elles font ce que la maîtrise d'ouvrage (dans ce cas, l'état) leur dit de faire. L'aversion au changement et à la simplification administrative a coulé le projet. Faut-il blâmer les sociétés tierces pour cela?

Ce message a été modifié par johnstone - 23 Apr 2019, 10:51.

Hummm... Petite inversion Maîtrise d'œuvre / Maîtrise d'ouvrage ?
Par ailleurs, la responsabilité individuelle ça existe, nous le savons depuis que certains aient tenté de se défendre comme ça à Nuremberg - toute proportion gardée quant aux conséquences des actes jugés !

Oups, désolé pour l'inversion J'édite le message, merci pour la remarque!

Sinon, l'engagement est contractuel et c'est sur cette base que les recours éventuels sont étudiés...

C’est faire peu cas du comportement des sociétés de service sur les projets, ils ont leur part de responsabilité, on les embauches pour leurs compétences.

Comme tout projet informatique de l'administration, la maîtrise d'ouvrage est d'une nullité sans nom. Quand on demande à faire du n'importe quoi, et bien le résultat est du n'importe quoi.
C'est pour ça qu'on fait appel à l'assistance à Maîtrise d'ouvrage... Mais dans l'administration ils savent tout mieux que tout le monde.

Bref, j'ai connu ça et ça ne date pas d'hier.

J'ai du mal à comprendre…
Il y aurait une messagerie conçue et financée pour l'usage exclusif de nos fonctionnaires ?
Sur des fonds publics ?

Y en a un qui parle tout le temps de Applefric… c'est une bonne piste pour parler de Franceafric ?… Ah ? ça existe déjà ?


J'apprécie le titre de la news : on sent bien que @Lionel a fait super gaffe à ne pas écrire une phrase qui justifierait que des tontons macoutes débarquent chez lui à 6 heures du mat'.

Ce message a été modifié par g4hd - 23 Apr 2019, 13:12.

Visiblement la médiocrité pour ne pas dire l'incurie des développements d'états n'est pas un mal Franco-Français mais lui aussi mondialisé.
L'article du chercheur est ici.

Validation incorrecte des adresses emails s'inscrivant (server-side), probablement avec une regexp toute conne ou juste vérifier l'adresse termine par @elysee.fr (ou un autre).
La bug vient du module Python email.utils, mais elle n'aurait pas dû passer les tests unitaires, où on met évidemment des emails mal-formés à dessein.

Le principe d'une validation par adresse email est en lui-même une erreur à ce niveau, et est généralement utilisé pour valider l'accès à l'adresse email et non pour valider ainsi son appartenance à un groupe de personnes: ce sont deux choses très différentes.
Même dans le premier cas, avec des personnes peu attentives à leur sécurité, ça peut permettre un accès avec du low-tech.

Un dernier point sur les App Mobiles (ou Desktop): il faut considérer que tout ce qu'on y met quand on les créé est publique, incluant d'éventuelles clés, qu'il a forcément recherché lors de l'analyse statique

Ce n'est jamais tout blanc ou tout noir, c'est vrai, mais il ne faut quand même pas rejeter la faute QUE sur ces sociétés. Au bout du bout, la responsabilité est bien celle du donneur d'ordre, pas de l'exécutant. Et puis, comme l'a si bien dit ptiyannou, ils savent mieux que tout le monde et se cachent toujours derrière des "spécificités incontournables".

Mon expérience du publique : ça fait 3 ans que j'y suis, après 10 ans de privé. Oui il y a des mauvais mais si vous payez votre plombier la moitié de son salaire, vous pensez que vous aurez des fuites ?
A part ça, il y a de vraies personnes investis et qui honorent l'esprit du service publique et qui on un vrai sens de l'intérêt général ... à salaire divisé par 2

Je suis sur que ça à été la même pour les concessions des autoroutes ... etc ...

Ce message a été modifié par human - 23 Apr 2019, 12:53.

Où est le problème sur le fond ? Dans l'idée, avoir un système de messagerie souverain et sécurisé pour les communications des fonctionnaires et dirigeants du pays, c'est plutôt une bonne chose.

Après, dans la forme, c'est dommage que ça soit un tel raté sur le plan de la sécurité. Mais ça ne remet pas en question l'idée de fond, qui est bonne.

Ce que je ne comprends pas c'est qu'il n'en ai pas eu un plus tôt, surtout!

Ça devrait être évident pour tous que passé une certaine échelle il faut maîtrises ses outils de communication internes et ne pas les laisser dans les mains d'acteurs qui peuvent être concurrents, ou dans le cas de gouvernements entre des mains étrangères dont les intérêts sont souvent antagonistes!

En pratique, j'ai compris surtout qu'il s'agit de se démarquer de WhatsApp et de réinventer le fil à couper le beurre.
J'ignore si c'est faisable en un claquement de doigt : il suffisait de pomper cette appli qui fonctionne au poil et la contraindre dans un système verrouillé pour la France avec des serveurs en France.
Mais non ! Pourquoi faire simple quand on peut faire compliqué et à coûts réduits…

Si il y a bien une application que je n'aurais pas reprise pour un gouvernement, c'est WhatsApp!!!

Ils ont choisi une voie similaire, avec une App Open-Source et relativement sûre, qui ne soit pas conçue et sous le contrôle d'une des pire multinationale en terme de respect de la vie privée (et là on parle d'affaires d'état!), et d'un gouvernement ayant trop tendance à vouloir espionner ses alliés.

Un point à noter: il est probablement plus couteux de faire une analyse de sécurité complète, incluant tous les composants/framework/libraires/etc utilisés, que de construire une solution simple et fiable.
L'Open-Source rend l'audit indépendant possible en théorie, mais la quantité de code à analyser (et à continuer à suivre sur la durée!) est tout bonnement gigantesque, empêchant dans la pratique de pouvoir garantir la sécurité.
Preuve en est que la première faille de sécurité vient d'un module Python (mail.utils) connu et très utilisé...

Ce message a été modifié par iAPX - 23 Apr 2019, 14:10.

Ben non, justement, il n'est pas possible de prendre l'application WhatsApp existante et de la faire utiliser des serveurs maison. C'est une application propriétaire, pas une application open source, donc on ne peut pas en faire ce qu'on veut...

En fait, il y avait déjà depuis fort longtemps un système sécurisé, mais basé sur du matériel spécifique (par exemple, le Teorem de Thales), obligeant du coup à avoir un second téléphone, et réservé aux gens les plus hauts placés dans la hiérarchie.

Cette application visait à avoir un système sécurisé plus accessible et du coup ouvert à un plus grand nombre de fonctionnaires (mais seulement en complément du Teorem et de ses équivalents, pas en remplacement, car pour ce qui est de niveau secret défense il faut une maîtrise complète du matériel et du logiciel, pas juste une application tournant sur du matériel et OS grand public...).

Bonjour,
Je ne remets pas en cause l’idée d’une messagerie chiffrée, française, au contraire, même si je ne lui accorderais aucune confiance, (mon manque de confiance envers les autorités, est une séquelle de Tchernobyl ). Encore qu’elle est en open source, donc il sera difficile d’y mettre des « portes dérobées ».

Je suis simplement étonné que quand on demande une messagerie, chiffrée de bout en bout, que l’on puisse utiliser en toute sécurité, seulement quelques heures après son lancement on se rend compte qu’il y a une faille !
Pour ceux qui ont conçu cette application, qui l'ont vérifié, c'est au minimum un manque de conscience professionnelle, ou une négligence ?

Si je demande à un plombier professionnel de m’installer une douche, je l’aurais mauvaise si je découvre, que l'eau n'arrive pas, ou des fuites d’eau dès une première utilisation. Il aurait intérêt à revenir fissa, et il ne repartirait que quand l’installation serait conforme. En plus je crois que je garderais sa facture sous le coude quelque temps, histoire d’être sûr que l’installation est sans problème.


Comme l’appli n’est pas libre, on ne sait pas s’il n’y a pas des bugs, ou des portes dérobées.

c'est également une manière détournée de fournir une application de messagerie Française 'Maison' Permettant de surveiller ses concitoyens plus facilement... Aucune confiance en ce gouvernement et les précédents, donc je suis pas prêt de l'utiliser..

Ben non, puisque c'est réservé aux fonctionnaires, pour leur utilisation professionnelle (et encore, à priori ce ne sera même pas ouvert à tous les fonctionnaires).

Tout gouvernement a parmi ses missions de protéger les citoyens, donc de les surveiller. Le problème est de placer le curseur entre trop et pas assez.
L'autre solution serait de ne pas avoir de gouvernement du tout...

Ouch!

La première mission d'un gouvernement est de protéger ses citoyens et c'est d'ailleurs sa seule raison d'exister.

Mais en revanche passer de la protection à la surveillance de masse comme si c'était une évidence, là je dois dire que je suis ébahi...

Ce message a été modifié par iAPX - 23 Apr 2019, 18:11.

Ouais, on peut toujours accuser l'état ou les entreprises mais, derrière chaque échec, il y a des hommes.
Je me souviens d'un chef de service qui se présentait comme très au fait de l'informatique et qui a piloté seul (il était si fort !) un projet de logiciel de missions très complexe pour un organisme plurinational. On l'avait bien mis en garde des difficultés et de ne pas passer commande auprès d'un prestataire purement Windows / purement Explorer. Bilan des courses, un truc inutilisable ne fonctionnant QUE sur une unique version (déjà obsolète) de Windows et de Internet Explorer. Poubelle pure et simple un an après et démission du génie. Dans ce cas précis, la faute était sienne et pas celle du prestataire.
Plus récemment j'ai pu voir les dégâts de deux contrats de développement web mal négocié. Dans chaque cas la boîte a atteint les objectifs mais en tirant partie des vides du contrat et en essayant de se ménager au maximum des prestation payantes.
Là on ne parle pas de fonctionnaires qui, d'ailleurs, étant eux aussi des humains, ne sont pas plus cons (tout aussi cons ?) que les autres.

C'est pour cela qu'on lance d'abord une beta

Est ce que je me trompe si je dis que, il n'y a pas si longtemps, il a été découvert des portes dérobées dans le code Open Source de serveurs critiques ?
Le Open Source ne protège pas tellement car je doute que beaucoup de gens aient le temps et la compétence pour plonger dans les milliards de lignes des bibliothèques utilisées par tous.

Si c'est réellement développé en France par des français (et pas sous traité à l’étranger) et utilisé sur du matériel désigné et fabriqué en France je me dis qu'il ne reste comme faille que le réseau... et c'est déjà énorme ...

Mais comme les terminaux viennent de chine comme nous n'avons plus de fabricant 100% nationaux pour les terminaux
Que le réseau passe sur du matos chinois et/ou américain ou coréen
Et même si c'est dans un data center Français (avec des serveurs USA made in china)
Avec des bouts de code pompé sur "google est ton amis" et des "OS" made in America ...

je voudrai savoir qui s'engage pour certifier que c'est sécurisé ce "WhatsApp" French Touch

c'est beau de rêver ...

Totalement et c'est une perte de souveraineté incroyable de penser que la France n'est plus du tout dans la course, si on pense à sa position il y a 3 ou 4 décennies, et ce n'est pas faute de personnes de qualité, mais uniquement d'une démission de l'état.

Ça fait mal au cœur à voir!

Très mauvais exemple, quand on voit le nombre d'escrocs dans cette profession (dans les grandes villes essentiellement).

Toutes les réponses, ou presque sur Tchap.
Ce n’est pas aussi ambitieux que cela, c’est une App iOS ou Android, ou en ligne.
La grosse différence avec WhatsApp, c’est que toutes les conversations sont stockées en France et que le tiers de confiance n’est pas Facebook.
Pour le reste, à par le chiffrement de bout en bout activé automatiquement, il n’y a rien de spécial.
Lorsque la sécurité doit être forte (militaires par exemple), le matériel ad-hoc habituel est employé.

C’est visiblement lancé par des professionnels, puisqu’ils ont déjà qualifié de « faille - d’impact mineur - […] et corrigée en quelques heures » le problème rencontré la veille de son lancement officiel. Je crois qu’ils jouaient à Je te te tiens tu me tiens par la barbichette avec Samsung.

SartMatt, en réponse à g4hd, tu reprends son expression et tu parles (dans plusieurs post) de « communications des fonctionnaires ».
J’ai l’impression que tu vas un peu vite en besogne. Il me semble que le « government employees » fait plutôt référence aux employés du gouvernement qu’aux employés de l’État.
J’en veux pour preuve qu’il faut posséder une adresse courriel en @gouv.fr ou @elysee.fr. Tu peux en avoir une sans être fonctionnaire.
À terme, les administrations pourront rejoindre, si elles le souhaitent, ce réseau.

La faille n’était pas dans les communications, mais dans la façon dont le serveur validait l’inscription d’un nouveau participant. Celui-ci pouvait accéder à tous les salons et profils, publics seulement.
Cela ne remet donc pas en cause le chiffrement.
Je suppose qu’un ministre qui utilise Tchap avec son cabinet le fera dans un salon privé.
C’est peut-être un peu excessif de dire que le service a été laminé.

Ce message a été modifié par Illiade - 23 Apr 2019, 22:28.

La situation ne sera pas tenable sur long-terme pour la sécurité, si tant est que ça le soit aujourd'hui ce dont je doute très fortement, non pas parce que les différents acteurs ne suivraient pas les fumeuses "bonnes pratiques", mais justement car ils les suivent.
Leur première faille de sécurité connue dérive directement du modèle de production logiciel actuel, dans lequel on a finalement aucun contrôle effectif sur la sécurité.

Au pire, des acteurs malveillants iront tranquillement injecter du malware du coté serveur, ça prend du temps mais c'est souvent possible surtout avec Python.
D'autres plateformes comme WordPress sont même des invitations à de la prise de contrôle ciblée par injection de malware.
Avec le coté stratégique des échanges privés entre personnes ou groupes, ça serait étonnant qu'ils passent 2019 sans hack avec fuite des messages les plus privés, au pire ça sera fait en 2020...

Le modèle de création logiciel aujourd'hui adopté et la façon dont on délègue massivement la sécurité à des tiers est un problème énorme, la productivité et rentabilité au prix de la sécurité.

Ce message a été modifié par iAPX - 24 Apr 2019, 00:06.