Le 17 avril, le gouvernement français a lancé une application Android destinée à être utilisée par les employés du gouvernement comme un moyen de communication interne sécurisé. Appelé Tchap (une référence au réseau de télégraphe Chappe, conçu par Claude Chappe au tournant de la Revolution et qui permettait de communiquer sur de longues distances grâce à des sémaphores), il a été présenté comme un substitut de WhatsApp et de Telegram, fournissant (en théorie) des canaux de messagerie privés et de groupe auxquels seules les personnes possédant une adresse électronique gouvernementale pouvaient adhérer.Tchap n’est pas destiné à être un système de communication classifié - il fonctionne sur les téléphones Android classiques et utilise l’Internet public. Mais comme le dit le DINSIC, la Direction interministérielle du numérique et du système d’information et de communication qui gère Tchap, Tchap « est une messagerie instantanée qui permet aux employés du gouvernement d’échanger des informations en temps réel sur des problèmes professionnels quotidiens, en veillant à ce que les conversations restent hébergées sur le territoire national ». En d'autres termes, il s'agit de garder les affaires officielles du gouvernement à l'écart des serveurs de Facebook et de Telegram hors de France.
Basé sur l'application de chat Riot.im du projet open source Matrix, Tchap est toujours officiellement en version bêta, selon DINSIC. Et ce bêta-test commence mal. En l'espace de deux jours, le chercheur français en sécurité, Baptiste Robert - qui passe par le compte Twitter @fs0c131y (alias Elliot Alderson) - a utilisé Tchap et a ensuite visionné tous les canaux de discussion internes « publics » hébergés par le service.
Il faut tout de même signaler le bon côté de la chose : la DINSIC a réagi rapidement et l’agence compte désormais sur l’apport des chercheurs en sécurité pour renforcer la sécurité de l’application. Mais comme dans de nombreux projets de « transformation numérique », celui-ci a été réalisé avec peut-être un peu trop peu de planification préalable de la sécurité.
Les développeurs de Matrix, qui ont mis au point le protocole de communication sur lequel s'appuie Tchap, ont en tout cas rapidement fait savoir qu'un patch avait été déployé pour résoudre le problème de la messagerie made in France.
« Aucune donnée n'a été compromise », signale Nadi Bou Hanna, directeur de la Dinsic, qui souligne que Tchap a été lancé en version bêta. L'idée était de mettre une première version de cette messagerie à disposition des agents pour que ces derniers s'en emparent et nous fassent des retours. Un bug bounty devrait d'ailleurs être organisé dans les prochaines semaines pour en améliorer les aspects ergonomiques et sécuritaires.
Comment il a utilisé une adresse connue @elysee.fr
Les serveurs de noms configurés par les départements et les ministères du gouvernement français exécutant le code Matrix analysent les adresses électroniques soumises pour les nouveaux comptes afin de les comparer aux adresses électroniques existantes dans leurs services d'annuaire.
Après avoir analysé le code du paquet Tchap publié sur le Play Store de Google, Robert a utilisé l'outil de proxy Frida pour modifier une demande Web pour un nouveau compte à partir de l'application afin de transmettre une adresse email spécialement construite qui a greffé sa propre adresse sur un compte connu du serveur d'annuaire ciblé—présidence@elysee.fr, l'adresse électronique officielle de l'Élysée. La valeur envoyée au serveur utilisait un symbole @ pour séparer les deux adresses (une adresse @ protonmail.com @ presidence @ elysee.fr).
« En théorie, l'application est réservée aux employés du gouvernement, en d’autre termes les personnes possédant une adresse e-mail en gouv.fr ou en elysee.fr », a confié le chercheur. « Dû à un problème de filtrage sur l'adresse e-mail lors de l'inscription, j'ai réussi à m'inscrire sur l'application en tant qu'employé de l'Elysée sans avoir d'adresse e-mail officiel. Ainsi, j’ai obtenu l’accès à tous les salons publics, les profils des gens inscrits, etc. »
Dans son journal de bord, il relate sa façon de pensée et ce qu’il a entrepris :
« J'ai décompilé l'application et fait l'analyse statique habituelle. Rapidement, j'ai découvert que l'application est open source.
« Cette application est un fork de l'application Android Riot. Riot.im est une application de messagerie créée par Matrix. Ils aiment l'open source, moi aussi!
« C’est le moment de l’analyse dynamique. Ils ont mis en œuvre un certificat épinglé dans l'application. Bien sûr, vous pouvez le désactiver avec Frida
Au cours du processus d'inscription, l'application demande un jeton.« En fonction de votre adresse e-mail, elle utilisera le “correct” id_server. Tous les serveurs disponibles sont définis dans le fichier AndroidManifest.xml.
« Je définis id_server sur matrix.agent.elysee.tchap.gouv.fr. Pour info, Elysée est le palais présidentiel français. En choisissant ce serveur, j'ai supposé que je devrais avoir une adresse e-mail@elysee.fr. Donc, dans la demande requestToken, j'ai modifié le courrier électronique en fs0c131y@protonmail.com@ elysee.fr. Hum, pas d'email de validation dans ma boîte de réception…
« Attendez, il attend peut-être une adresse email connue @elysee.fr. J'ai donc fait une recherche sur Google “email @ elysee.fr”
« Alors j'ai fait un autre essai et dans la requête requestToken et j'ai modifié l'email en fs0c131y@protonmail.com@presidence@elysee.fr. Bingo! J'ai reçu un email de Tchap, j'ai pu valider mon compte! »
Deux heures après le téléchargement de l’application, Robert disposait d’un compte validé et apparaissait au système comme un employé d’Élysée. Tous les comptes du système étant directement liés aux comptes de messagerie officiels du gouvernement français, il avait donc accès aux informations de profil relatives aux employés de plusieurs ministères.
Robert a contacté l'Élysée, qui à son tour a contacté DINSIC. En une heure, la création du compte avait été suspendue; un correctif a été déployé et le service rétabli un peu plus de trois heures plus tard. DINSIC a souligné qu'Alderson n'avait accès qu'aux « salons » publics visibles par tous les utilisateurs de messagerie et non aux zones de discussion privées ou aux informations confidentielles.
Source : billet Elliot , twitter Elliot
