On vous avait vendu un coffre-fort. Il se trouve que la porte blindée était impeccable, mais que quelqu'un avait laissé une clé sous le paillasson. Voilà, en résumé, ce que raconte la fuite qui touche Tchap, la messagerie soi-disant inviolable de l'État français.
Le 8 juin 2026, un cybercriminel a revendiqué sur un forum l'accès à Tchap, la messagerie instantanée chiffrée utilisée par l'administration française. Dans la foulée, la Direction interministérielle du numérique (DINUM) et l'ANSSI ont confirmé un incident de sécurité, détecté la veille, résultant de l'usurpation d'un compte utilisateur. Le compte a été identifié et désactivé pour couper l'accès de l'attaquant.
L'affaire est embarrassante parce que Tchap n'est pas une application comme une autre. Déployée depuis 2019, opérée par la DINUM, validée par l'ANSSI, elle a été généralisée à l'ensemble des agents publics en 2025, précisément pour les protéger des risques d'interception que présentaient les messageries grand public. Aujourd'hui, près de 300 000 agents l'utilisent. Quand l'outil censé être le plus sûr de l'État est pris en défaut, la question dépasse la technique.
Ce que l'on sait, ce qui reste à confirmer
Avant tout, un principe de prudence s'impose. Dans ce type d'affaire, il faut distinguer trois choses : la revendication d'un criminel, la confirmation officielle d'un incident, et l'évaluation réelle de son ampleur. Les trois ne coïncident pas toujours.
Côté officiel, la DINUM confirme une compromission via usurpation de compte, rapidement détectée et contenue avec l'ANSSI. Côté attaquant, les chiffres avancés sont spectaculaires, mais ils restent à ce stade une revendication non validée indépendamment.
Attention : les volumes cités, plus de 73 000 comptes d'agents, 643 000 messages, près de 59 000 fichiers pour environ 13,5 Go de données, et 90 documents marqués "Diffusion restreinte" sur une période allant de juin 2023 à juin 2026, proviennent de l'attaquant lui-même. Ils n'ont pas été confirmés officiellement et doivent être lus avec recul.
Ce qui est techniquement établi en revanche, c'est la nature de l'attaque. Selon le pirate, l'accès initial est venu d'un compte lié à l'Éducation nationale, qui a servi de point d'entrée pour explorer des espaces collaboratifs de plusieurs ministères. Autrement dit, pas d'exploit cryptographique, pas de chiffrement brisé. Un identifiant légitime détourné, et la porte s'ouvre de l'intérieur.
Le chiffrement n'a pas cédé, et c'est tout le problème
Il faut rendre à Tchap ce qui lui appartient. Sur le plan technique, l'application est solide. Elle repose sur le protocole ouvert Matrix, avec un chiffrement de bout en bout, et une architecture où chaque ministère héberge ses propres données en France. Sur le papier, c'est du sérieux.
La DINUM insiste d'ailleurs sur ce point : même en cas d'usurpation de compte, l'historique des conversations privées chiffrées resterait inaccessible. Le chiffrement de bout en bout a fait son travail. Le contenu protégé est resté protégé.
L'attaque ne casse rien sur le plan cryptographique. Elle se contente d'utiliser un compte valide. C'est la définition même d'une faille humaine et organisationnelle.
Mais c'est précisément là que le bât blesse, et que le regard critique s'impose. Le chiffrement de bout en bout protège le contenu des échanges privés. Il ne protège ni l'annuaire des agents, ni le contenu des salons publics, ni les fichiers partagés, ni les métadonnées qui disent qui parle à qui, et quand. Un compte compromis, c'est un agent qui se promène dans le système avec tous les droits que ce statut implique. Ce qu'il pouvait voir, l'attaquant pouvait potentiellement le voir aussi.
La promesse marketing du "tout chiffré, donc tout sûr" se fracasse ici sur une réalité que les professionnels de la sécurité répètent sans relâche : le chiffrement n'est qu'une brique. Si les agents partagent des informations sensibles dans des salons publics par manque de vigilance, aucun algorithme ne les sauvera.
Votre site est-il un coffre-fort ou une passoire ?
Comme pour Tchap, le maillon faible est rarement là où on le croit. Vérifiez en quelques minutes l'état réel de votre conformité et de vos traitements.
Une série noire dans la sphère publique
L'incident Tchap ne tombe pas du ciel. Il s'inscrit dans une succession de compromissions visant l'État et ses opérateurs, ce qui interroge sur la robustesse d'ensemble du dispositif public.
Ministère de l'Intérieur
Le compte d'un agent est compromis, là encore par le facteur humain plutôt que par une prouesse technique.
Piratage de l'ANTS
L'Agence nationale des titres sécurisés est touchée, exposant les données de millions de Français. Nous avons détaillé les enjeux RGPD de cette affaire dans un article dédié.
Compromission de Tchap
La messagerie chiffrée de l'État est atteinte via un compte usurpé, malgré son statut d'outil souverain de référence.
Ce qui frappe dans cette série, c'est la constance du mode opératoire. Rarement une faille technique spectaculaire, presque toujours un accès légitime détourné. Pour mieux comprendre comment ces fuites exposent concrètement vos données et ce que le RGPD impose dans ces situations, notre analyse du piratage de l'ANTS et de ses conséquences RGPD reste pleinement d'actualité.
La souveraineté numérique, ce label rassurant brandi pour justifier le déploiement d'outils nationaux, ne se mesure pas seulement à l'endroit où les serveurs sont installés. Héberger les données en France ne sert à rien si un seul compte mal protégé suffit à les aspirer. La sécurité se joue dans la gestion quotidienne des accès, pas dans une carte de l'hébergement.
Ce que cette affaire dit de vos données
Si l'État, avec ses moyens, ses experts et ses outils certifiés, peut se faire prendre par un compte usurpé, quel message pour une PME, une agence ou un indépendant ? Pas un message de fatalisme, mais un rappel salutaire.
D'abord, aucun outil n'est sûr en soi. La sécurité n'est pas une case qu'on coche à l'achat d'une solution labellisée, c'est une pratique continue. Les meilleurs algorithmes du monde ne compensent pas un mot de passe faible, une absence d'authentification renforcée, ou un défaut de surveillance des comportements anormaux.
Pour les utilisateurs
Vos données dans un service, même réputé sûr, dépendent de la rigueur de tous ses utilisateurs.
- Ne supposez jamais qu'un outil "sécurisé" vous dispense de prudence.
- Ne partagez pas d'informations sensibles dans des espaces partagés ou publics.
- Activez l'authentification renforcée partout où c'est possible.
Pour les professionnels
Vous êtes responsable des données que vous traitez, quel que soit l'outil utilisé.
- Cartographiez qui a accès à quoi, et révoquez les accès inutiles.
- Surveillez les connexions et les comportements anormaux.
- Formez vos équipes : le facteur humain est la première porte d'entrée.
Ensuite, le cadre juridique ne disparaît pas parce qu'il s'agit d'un service public. Les administrations sont soumises au RGPD pour les données personnelles qu'elles traitent. L'article 32 impose une obligation de sécurité proportionnée aux risques. En cas de violation, l'article 33 prévoit une notification à la CNIL, en principe sous 72 heures, et l'article 34 impose d'informer les personnes concernées lorsque le risque pour leurs droits et libertés est élevé.
Bon à savoir : l'obligation de sécurité de l'article 32 est une obligation de moyens renforcée. Elle ne vous demande pas l'invulnérabilité, impossible, mais des mesures appropriées et à jour. Choisir un outil chiffré sans gérer les accès, c'est verrouiller la porte en laissant la fenêtre ouverte.
Pour les professionnels qui traitent des données sensibles, la première étape concrète reste de savoir où vous en êtes. Vous pouvez commencer par vérifier la conformité de votre site et de vos traitements, puis combler les écarts méthodiquement. La sécurité parfaite n'existe pas, mais la négligence, elle, se sanctionne.
Questions fréquentes
Le chiffrement de Tchap a-t-il été cassé ?
Non. Selon la DINUM et l'ANSSI, l'incident résulte de l'usurpation d'un compte utilisateur, pas d'une faille du chiffrement. Les conversations privées chiffrées de bout en bout resteraient inaccessibles, même en cas de compte compromis. Les données potentiellement exposées proviendraient des salons et espaces publics de la plateforme.
Les chiffres de la fuite Tchap sont-ils confirmés ?
Non. Les volumes avancés (plus de 73 000 comptes d'agents, 643 000 messages, près de 59 000 fichiers) sont une revendication de l'attaquant, non validée indépendamment à ce jour. La DINUM confirme une compromission via usurpation de compte, mais n'a pas confirmé ces chiffres.
Si les données étaient chiffrées, pourquoi parler de fuite ?
Parce que le chiffrement de bout en bout protège le contenu des conversations privées, mais pas tout le reste : annuaire des agents, contenu des salons publics, fichiers partagés, métadonnées. Un compte légitime compromis donne accès à ce qu'un agent voyait, ce qui peut représenter beaucoup d'informations sensibles.
Qu'est-ce que cet incident change pour mon entreprise ?
Il rappelle qu'aucun outil n'est sécurisé en soi. La sécurité dépend de la gestion des accès, de l'authentification renforcée, de la détection des comportements anormaux et de la formation des utilisateurs. Un seul compte mal protégé peut compromettre tout un système, quel que soit son niveau de chiffrement affiché.
Le RGPD s'applique-t-il à une messagerie de l'État ?
Oui. Les administrations sont soumises au RGPD pour les données personnelles qu'elles traitent. L'article 32 impose une obligation de sécurité, et une violation doit être notifiée à la CNIL au titre de l'article 33, et aux personnes concernées si le risque est élevé (article 34).
Que faire si je suis un agent public concerné ?
Suivez les consignes officielles de votre administration et de l'ANSSI, changez votre mot de passe Tchap, activez les protections disponibles et restez attentif aux tentatives d'hameçonnage qui pourraient exploiter les informations exposées. En cas de doute, signalez tout message suspect à votre référent sécurité.
Recevez la checklist de conformité RGPD (12 points)
La liste complète des éléments à vérifier sur votre site, point par point, pour vous mettre en conformité. Envoi immédiat par e-mail.
Jérémy Pierre
Expert en conformité RGPD, Jérémy accompagne les sites et agences dans la mise en conformité de leurs traitements de données depuis le lancement de RGPDKit.