Tchap : retour sur un lancement raté

CollaborationLogicielsPolitique de sécuritéSécurité

Tchap intervenait en réponse au manque de sécurisation des applications de type Telegram ou WhatsApp, utilisée par les membres du gouvernement.

Le 18 avril dernier, le chercheur français en sécurité nommé « fs0c131y », a découvert une faille dans l’application Tchap, dans l’heure suivant son lancement.

Cette application de messagerie destinée à un usage strictement réservé au gouvernement français, intervenait en réponse au manque de sécurisation des applications de type Telegram ou WhatsApp, utilisée par les membres du gouvernement. 

En l’espace d’une journée, la vulnérabilité de Tchap a donc été détectée, signalée, corrigée et rendue publique. Une réactivité nécessaire dans un tel contexte.  

Lancement de Tchap : que s’est-il passé ?

L’application a été mise en échec très rapidement.

Destinée à l’usage exclusif des agents de la fonction publique d’Etat, elle était supposée restreindre la création de comptes de sorte que seuls les titulaires d’une adresse e-mail gouvernementale puissent utiliser la plate-forme.

Or, il est très vite apparu que tel n’était pas le cas.

Le chercheur français en sécurité fs0c131y – qui se définit comme « pire cauchemar de Oneplus, Wiko, UIDAI, Kimbho, Donald Daters et autres », alias Elliot Alderson (du nom du hacker dans la série Mr. Robot) – a téléchargé l’application dès son lancement et a, peu de temps après, pu s’octroyer un accès illicite.

Bien que l’application ait été configurée pour n’accepter que les adresses @gouv.fr ou @elysee.fr, fs0s131y s’est aperçu qu’elle laissait passer toute adresse contenant un nom de domaine gouvernemental dans son libellé.

C’est ainsi qu’une adresse telle que mon-mail@gmail.com pouvait être adaptée en mon-mail@gmail.com@gouv.fr et prise par l’application pour celle d’un compte légitime.

Ce problème n’aurait pas été très grave si le détenteur du compte illicite avait été ensuite dans l’incapacité d’accéder à l’interface principale de Tchap mais, là encore, ce n’était pas le cas. L’application ne lisait, en effet, que la première partie de l’adresse saisie – mon-mail@gmail.com – et envoyait donc le message de validation à ce compte.

Concrètement, cette faille donnait à n’importe qui possédant une adresse e-mail un accès illimité à des échanges de messages sensibles.

La vulnérabilité CVE-2019-11340 est la conséquence d’une vérification incorrecte de la saisie de l’utilisateur par le module Python de traitement des adresses e-mail, email.utils.

Le problème spécifique concernant le module, référencé 34155, a été identifié pour la première fois le 19 juillet 2018 et la méthode open source d’analyse d’adresse, parseaddr, n’a pas été corrigée avant le 19 avril dernier, jour de la publication de la faille de sécurité de Tchap.

Adopter une approche centrée sur les menaces

Ce raté au lancement de Tchap suscite des préoccupations évidentes. Si un individu plus malintentionné que fs0s131y avait découvert la faille, il aurait pu avoir accès aux informations partagées sur l’application. 

Toute entreprise exploitant un intranet ou un réseau similaire reposant sur une application, dont les informations ne doivent être accessibles qu’aux seuls utilisateurs possédant une adresse e-mail de la société, doit être alertée sur les vulnérabilités telles que CVE-2019-11340.

Il est donc essentiel de connaître les vulnérabilités présentes au sein du réseau d’entreprise, car CVE-2019-11340 peut très bien être n’être que l’une d’entre elles. 
 
Ce n’est malheureusement pas le cas de la plupart des vulnérabilités exploitées : afin d’assurer la cybersécurité de l’entreprise, il est nécessaire de disposer d’une visibilité sur l’ensemble de l’environnement et d’avoir conscience des conséquences de chaque faille. 


Auteur
En savoir plus 
Directrice des Ventes France & Belux
Skybox Security
Isabelle Eilam-Tedgui est Directrice des Ventes France & Belux chez Skybox Security
En savoir plus 

Livres blancs A la Une