, 17 tweets, 4 min read Read on Twitter
1/ Et si on faisait un petit point sur #Tchap? Parlons des faits, cela permettra à tout le monde de se faire une opinion.

Le 23 Mars dernier la @_DINSIC publie sur le PlayStore Tchap, une application de messagerie « sécurisée » pour les employés du gouvernement français.
2/ Le 18 avril, une campagne de communication commence. On peut voir dans la presse des articles du type « Tchap une application de messagerie plus sécurisée que Telegram ». C’est le lancement officiel phonandroid.com/tchap-letat-la…
3/ Le même jour, j’analyse cette app et j’arrive à m’inscrire sur Tchap en tant qu’employé de L’Elysée. Cette faille de sécurité est en réalité une faille de la solution de messagerie appelé Matrix utilisé par Tchap medium.com/@fs0c131y/tcha…
4/ Le contact avec les responsables de @tchap_dinsic ont été parfait. « On vous remercie, c’est sympa de ne pas avoir rendu publique la faille, on va penser à un bug bounty » C’est tout ce qu’un chercheur en sécurité recherche.
5/ Concernant @matrixdotorg c’est une autre histoire. Leur première réaction a été de dire que la faille était un problème de déploiement spécifique à Tchap.
6/ Malheureusement pour eux ceci est faux car la faille provenait d’un code écrit par eux. Ce n’est pas un problème de déploiement. Ils ont par la suite était forcé de faire un patch de sécurité et une CVE a été attribuée à cette faille matrix.org/blog/2019/04/1…
7/ Depuis le départ nos échanges sur Twitter ainsi que par emails sont teintés d’agressivité. Mes tweets déplaisent. J’assume mes tweets et le ton employé. C’est grâce à cela que ça marche. C’est cela qui a fait et qui fait bouger les sociétés et les gouvernements.
8/ Samedi ayant le sentiment d’avoir raté quelque chose je me replonge dans la capture réseau que j’ai faite jeudi. En 1h, je trouve qu’il est possible d’obtenir le nombre d’inscrit sur Tchap par ministère.
Ce n’est pas un gros problème mais cela reste un problème à considérer
9/ Je trouve également que tout les profils sur Tchap sont public (nom prénom et avatar). Aggressivement on me répond que c’est une fonctionnalité. On peut donc accéder aux profils Tchap des employés de l’Elysée. En tant que citoyen français ceci me choque.
10/ Par design, un utilisateur n’a pas la possibilité de mettre son profil en privé sur Tchap.

Nous sommes en 2019, est ce que Tchap respecte RGPD?
11/ Matrix a confirmé par e-mail qu’il n’y a pas eu d’audit de sécurité sur leur solution.

Dans la presse, on parle d’une app plus sécurisée que Telegram, en vrai 0 audit de sécurité
12/ Dans la presse on parle également d’une app « souveraine ». Matrix est basé à Londres, on retrouve du Firebase made in Google dans l’app. On a pas de Français assez talentueux pour coder en France?
13/ Il faut également comprendre quelque chose. WhatsApp, Messenger et les autres posent pleins de soucis en terme de sécurité et/ou vie privée qu’un geek comme moi serait ravi d’expliquer. Par contre...
14/ ... il faut comprendre que des centaines de personnes bossent sur WhatsApp par exemple. Des gens brillants et depuis plusieurs années. Leur appli est utilisé par des millions de personnes dans le monde, en permanence.
15/ Des millions de dollars ont été injecté dans une app comme WhatsApp. Alors svp, remballez votre com et commencez à travailler sérieusement. Ce n’est pas en customisant une app open source que vous allez détrôner des géants.
16/ Je pense sincèrement que le projet d’une app « française » est un bon projet. Cependant, il demande du professionnalisme et du temps. Je sais que l’heure est à la startup nation mais dans ce cas là remballez vos méthodes de startup ou alors votre...
17/ ...projet finira comme la plupart des startups: une belle aventure qui s’est mal terminée.
Missing some Tweet in this thread?
You can try to force a refresh.

Like this thread? Get email updates or save it to PDF!

Subscribe to Elliot Alderson
Profile picture

Get real-time email alerts when new unrolls are available from this author!

This content may be removed anytime!

Twitter may remove this content at anytime, convert it as a PDF, save and print for later use!

Try unrolling a thread yourself!

how to unroll video

1) Follow Thread Reader App on Twitter so you can easily mention us!

2) Go to a Twitter thread (series of Tweets by the same owner) and mention us with a keyword "unroll" @threadreaderapp unroll

You can practice here first or read more on our help page!

Follow Us on Twitter!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just three indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3.00/month or $30.00/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!