Discover and read the best of Twitter Threads about #tchap
Most recents (7)
1/ Le directeur de l’ANTS a annoncé hier qu’un bug bounty sera organisé pour #AliceM.
MERCI. Sincèrement.
C’est un signal positif et je me félicite que les choses aillent dans le bon sens. J’ai battu le pavé depuis des mois pour que l’administration prenne cette initiative.
MERCI. Sincèrement.
C’est un signal positif et je me félicite que les choses aillent dans le bon sens. J’ai battu le pavé depuis des mois pour que l’administration prenne cette initiative.
2/ Maintenant que l’annonce est faite, j’espère que l’ANTS mettra réellement en place ce bug bounty.
L’histoire ne s’arrête évidemment pas là et ils restent de nombreuses questions en suspens auxquelles l’ANTS devra répondre dans les prochains mois.
L’histoire ne s’arrête évidemment pas là et ils restent de nombreuses questions en suspens auxquelles l’ANTS devra répondre dans les prochains mois.
3/ Les auditions de ces derniers jours devant la mission d’information sur l’identité numérique de l’@AssembleeNat nous ont apporté des nouvelles infos: initiative d’un vote électronique par AliceM, etc. Le public mérite une transparence totale sur la feuille de route #Alicem
1/ A propos de #Tchap: « En fait, les sources techniques qui permettent de rendre ce service à large échelle [..] sont principalement anglo-saxonnes ». On est d’accord, merci d’arrêter de parler d’app « souveraine » lepoint.fr/technologie/le…
2/ De plus pourriez vous arrêter de mentir? L’application n’était pas en bêta. Vous avez fait un lancement avec une vaste campagne de communication. C’était un lancement officiel, ce n’est absolument pas comme ça que l’on sort une app en bêta
3/ Pour travailler ensemble et gagner la confiance d’une communauté il est toujours bon de se dire les choses honnêtement. On commence maintenant?
1/ On me dit dans l’oreille que suite à mon travail de jeudi, d’autres hackers ont révélé en privée des failles affectant #Tchap.
J’y vois ici l’utilité d’utiliser l’espace médiatique afin d’améliorer la sécurité d’un produit et faire bouger les mentalités.
J’y vois ici l’utilité d’utiliser l’espace médiatique afin d’améliorer la sécurité d’un produit et faire bouger les mentalités.
2/ On me reproche souvent d’être « clickbait », de rechercher « la fame ». Il n’en ai rien. Je fais de la sécurité différemment, en essayant tjs de protéger la données des utilisateurs. J’utilise les outils à ma disposition: ce compte Twitter et l’espace médiatique associé
3/ Mettre en lumière des failles de sécurité auprès du grand public est important. En tant que professionnel du secteur nous avons un devoir de pédagogie. Il faut expliquer dans des termes simples et non techniques. Si nous ne le faisons pas qui le fera?
1/ Et si on faisait un petit point sur #Tchap? Parlons des faits, cela permettra à tout le monde de se faire une opinion.
Le 23 Mars dernier la @_DINSIC publie sur le PlayStore Tchap, une application de messagerie « sécurisée » pour les employés du gouvernement français.
Le 23 Mars dernier la @_DINSIC publie sur le PlayStore Tchap, une application de messagerie « sécurisée » pour les employés du gouvernement français.
2/ Le 18 avril, une campagne de communication commence. On peut voir dans la presse des articles du type « Tchap une application de messagerie plus sécurisée que Telegram ». C’est le lancement officiel phonandroid.com/tchap-letat-la…
3/ Le même jour, j’analyse cette app et j’arrive à m’inscrire sur Tchap en tant qu’employé de L’Elysée. Cette faille de sécurité est en réalité une faille de la solution de messagerie appelé Matrix utilisé par Tchap medium.com/@fs0c131y/tcha…
Bon. Je viens de trouver 2 autres failles critiques dans #Tchap. Ça fait un total de 5 failles. Pour une application de messagerie sécurisée ça fait beaucoup...🤦♂️
Élégance française oblige, je peux lier les 2 failles.
Pour le moment, je vous déconseille d’utiliser #Tchap
Élégance française oblige, je peux lier les 2 failles.
Pour le moment, je vous déconseille d’utiliser #Tchap
Accessoirement je pars en vacances demain. J’avais pas envie de gérer ça maintenant
Personne n’a testé la sécurité sur ce projet. C’est pas possible sérieusement.
📢 Technical thread 📢
In fact, the vulnerability I found on #Tchap is a problem that comes from the Python email.utils module 😨
The parseaddr method seems very broken, you should not use it at all. Let me show you why. 1/
In fact, the vulnerability I found on #Tchap is a problem that comes from the Python email.utils module 😨
The parseaddr method seems very broken, you should not use it at all. Let me show you why. 1/
1. Open a terminal
2. python
3. import email.utils
We are ready to play! 2/
2. python
3. import email.utils
We are ready to play! 2/
"Parse address – which should be the value of some address-containing field such as To or Cc – into its constituent realname and email address parts. Returns a tuple of that information, unless the parse fails, in which case a 2-tuple of ('', '') is returned" 3/
Je viens de regarder #Tchap la nouvelle appli sécurisé du gouvernement français. Et, put*** le résultat est horrible.
@Elysee @gouvernementFR @EPhilippePM @EmmanuelMacron comment puis je vous contacter? C’est TRÈS TRÈS urgent.
Si vous avez des contacts je suis preneur.
@Elysee @gouvernementFR @EPhilippePM @EmmanuelMacron comment puis je vous contacter? C’est TRÈS TRÈS urgent.
Si vous avez des contacts je suis preneur.
Il va s’en dire. N’utilisez pas cette appli!
Contact done. Le responsable de l’app va être contacté rapidement. Je me tiens à sa dispo 😊
