,
17 tweets,
4 min read
Read on Twitter
2/ Le 18 avril, une campagne de communication commence. On peut voir dans la presse des articles du type « Tchap une application de messagerie plus sécurisée que Telegram ». C’est le lancement officiel phonandroid.com/tchap-letat-la…
3/ Le même jour, j’analyse cette app et j’arrive à m’inscrire sur Tchap en tant qu’employé de L’Elysée. Cette faille de sécurité est en réalité une faille de la solution de messagerie appelé Matrix utilisé par Tchap medium.com/@fs0c131y/tcha…
4/ Le contact avec les responsables de @tchap_dinsic ont été parfait. « On vous remercie, c’est sympa de ne pas avoir rendu publique la faille, on va penser à un bug bounty » C’est tout ce qu’un chercheur en sécurité recherche.
5/ Concernant @matrixdotorg c’est une autre histoire. Leur première réaction a été de dire que la faille était un problème de déploiement spécifique à Tchap.
6/ Malheureusement pour eux ceci est faux car la faille provenait d’un code écrit par eux. Ce n’est pas un problème de déploiement. Ils ont par la suite était forcé de faire un patch de sécurité et une CVE a été attribuée à cette faille matrix.org/blog/2019/04/1…
7/ Depuis le départ nos échanges sur Twitter ainsi que par emails sont teintés d’agressivité. Mes tweets déplaisent. J’assume mes tweets et le ton employé. C’est grâce à cela que ça marche. C’est cela qui a fait et qui fait bouger les sociétés et les gouvernements.
8/ Samedi ayant le sentiment d’avoir raté quelque chose je me replonge dans la capture réseau que j’ai faite jeudi. En 1h, je trouve qu’il est possible d’obtenir le nombre d’inscrit sur Tchap par ministère.
Ce n’est pas un gros problème mais cela reste un problème à considérer
Ce n’est pas un gros problème mais cela reste un problème à considérer
9/ Je trouve également que tout les profils sur Tchap sont public (nom prénom et avatar). Aggressivement on me répond que c’est une fonctionnalité. On peut donc accéder aux profils Tchap des employés de l’Elysée. En tant que citoyen français ceci me choque.
10/ Par design, un utilisateur n’a pas la possibilité de mettre son profil en privé sur Tchap.
Nous sommes en 2019, est ce que Tchap respecte RGPD?
Nous sommes en 2019, est ce que Tchap respecte RGPD?
11/ Matrix a confirmé par e-mail qu’il n’y a pas eu d’audit de sécurité sur leur solution.
Dans la presse, on parle d’une app plus sécurisée que Telegram, en vrai 0 audit de sécurité
Dans la presse, on parle d’une app plus sécurisée que Telegram, en vrai 0 audit de sécurité
12/ Dans la presse on parle également d’une app « souveraine ». Matrix est basé à Londres, on retrouve du Firebase made in Google dans l’app. On a pas de Français assez talentueux pour coder en France?
13/ Il faut également comprendre quelque chose. WhatsApp, Messenger et les autres posent pleins de soucis en terme de sécurité et/ou vie privée qu’un geek comme moi serait ravi d’expliquer. Par contre...
14/ ... il faut comprendre que des centaines de personnes bossent sur WhatsApp par exemple. Des gens brillants et depuis plusieurs années. Leur appli est utilisé par des millions de personnes dans le monde, en permanence.
15/ Des millions de dollars ont été injecté dans une app comme WhatsApp. Alors svp, remballez votre com et commencez à travailler sérieusement. Ce n’est pas en customisant une app open source que vous allez détrôner des géants.
16/ Je pense sincèrement que le projet d’une app « française » est un bon projet. Cependant, il demande du professionnalisme et du temps. Je sais que l’heure est à la startup nation mais dans ce cas là remballez vos méthodes de startup ou alors votre...
17/ ...projet finira comme la plupart des startups: une belle aventure qui s’est mal terminée.
