L’application de messagerie des pouvoirs publics contient au moins une faille, très rapidement découverte par un chercheur en sécurité et corrigée tout aussi promptement. La vulnérabilité permettait de contourner l’authentification des adresses mails .gouv.fr ou .elysee.fr.
A peine lancée, la messagerie chiffrée du gouvernement a déjà révélé une première faille. Celle-ci a été découverte par un chercheur en sécurité connu sur Twitter sous le pseudo Eliot Alderson (ou @fs0c131y, tous deux des références à la série Mr Robot). Dans un post sur Medium (et dans divers tweets), celui-ci explique avoir découvert une vulnérabilité permettant de s’inscrire sans adresse légitime .gouv.fr ou .elysee.fr. Selon le chercheur, la faille provient du module Python email.utils et de la méthode d’analyse parseaddr, implémentée dans Matrix.
Le code source de Tchap étant librement accessible, Elliot Alderson y a découvert que, durant le processus d’inscription, l’application requiert un token permettant d’identifier un utilisateur légitime (et son adresse mail). Après avoir choisi le serveur matrix.agent.elysee.tchap.gouv.fr et une première tentative infrucutueuse, il ajoute à son adresse mail, dans la requête requestToken, @[email protected]. « Bingo ! J'ai reçu un email de Tchap, j'ai pu valider mon compte! ».
Elliot Alderson à l’Elysée
Ce qui permet au terrible hacker d’accéder aux salons publics sur l’application, passant auprès d’elle pour un employé de l’Elysée. Le tout en à peine un peu plus d’une heure hier matin. @fs0c131y, qui ne porte pas de chapeau noir, a immédiatement prévenu les autorités, ainsi que l’équipe en charge de la sécurité du projet Matrix. Celle-ci détaille par ailleurs la faille dans une note de blog, soulignant que, effectivement, la fonction de Python email.utils.parseaddr est sérieusement défaillante.
La vulnérabilité a été corrigée dans Matrix et dans Tchap. La Dinsic, qui en a également profité pour remercier son bienfaiteur, souligne avoir « désactivé immédiatement et corrigé cette faille en 3 heures ». L’histoire ne dit pas si l’ANSSI, qui a examiné tant et si bien l’application qu’elle est sortie en retard, s’est faite taper sur les doigts pour avoir laissé passer cette vulnérabilité bien embêtante.