La messagerie de l'État Tchap victime d'une fuite de données

Le 7 juin 2026, l'Anssi a détecté une compromission de Tchap, la messagerie instantanée "souveraine" de l'État, déployée dans l'ensemble des ministères depuis septembre 2025 (voir notre article du 17 mars 2026). La Dinum a confirmé l'incident le lendemain : un compte utilisateur a été usurpé, rapidement identifié, il a immédiatement été bloqué" afin de supprimer l'accès persistant de l'attaquant".

Un cybercriminel a revendiqué, sur un forum spécialisé relayé par le site French Breaches, l'accès à 73.467 comptes d’agents publics et 643.459 messages, avec des données qui remonteraient à juin 2023. Ces éléments sont invérifiables, les pirates ayant tendance à gonfler les chiffres pour mieux valoriser leur forfait. La Dinum n'a pour sa part pas avancé de chiffre mais indique que des investigations sont en cours pour "identifier les conversations auxquelles l'attaquant a pu accéder et la nature des données exfiltrées". L'attaque a été notifiée à la Cnil.

La Dinum précise d'ores et déjà que seuls les "salons publics", ouverts à l’ensemble des utilisateurs et non chiffrés, seraient concernés, excluant les conversations privées, chiffrées de bout en bout. Elle annonce des mesures de remédiation et rappelle aux agents qu'aucune information sensible ou couverte par le secret professionnel ne doit transiter par un salon public.

L'usurpation de compte est à l'origine de la plupart des fuites de données ayant concerné des services de l'État ces derniers mois. Dans son rapport annuel, la Cnil a appelé les administrations à généraliser les dispositifs d'authentification multifacteurs (MFA). Une mesure de sécurité qui fait partie du plan à 200 millions d'euros annoncé par le Premier ministre le 30 avril pour faire face à ces vols de données (voir notre article du 19 mai 2026) .