Destinée à remplacer WhatsApp et Telegram dans les administrations, Tchap est disponible sur mobile et en client Web. Messagerie chiffrée, l’application n’est accessible qu’aux possesseurs d’une adresse mail gouv.fr.
En avril 2018, Mounir Mahjoubi confirmait les travaux menés par la Dinsic sur une messagerie privée chiffrée propre au gouvernement et à l’administration. Une alternative à Telegram et WhatsApp, qui certes ne se destine pas aux échanges les plus sensibles, mais permettra aux fonctionnaires de discuter d’affaires courantes de manière plus sécurisée. Y collaboraient la Dinsic et la startup franco-britannique New Vector, l’application devant avoir pour socle le logiciel open source riot.im implémentant Matrix, un standard ouvert, interopérable et décentralisé de communication Over IP.
Voici que l’application arrive sur l’App Store, le Play Store et en client web (pour Chrome, Safari et Firefox). Le service de messagerie, baptisé Tchap, est accessible à tous mais seuls peuvent créer un compte les titulaires d’une adresse .gouv.fr. Il sera toutefois possible dans le futur de « permettre des échanges avec des correspondants externes à l’administration » qui pourront s’inscrire via un lien d’invitation envoyé par une personne déjà membre. Tchap en soi est une application de messagerie basique, fonctionnant sur un principe de salons privés ou publics et de discussions entre deux personnes.
« Les messages (hors salons publics) sont protégés par un chiffrement de bout-en-bout » indique la FAQ du service. Elle comporte en outre un annuaire intégré des agents utilisateurs et demande la permission d’aller récupérer les correspondants Tchap dans les contacts du téléphone. Le créateur d’un salon a un rôle classique d’administrateur, configurant les politiques d’accès et les droits des invités. Dans le futur, Tchap pourra également se voir doté de fonctions voix/vidéo.Tchap permet également d’envoyer des documents, sachant que ceux-ci seront examinés pour éviter tout fichier vérolé.
Hébergé chez CloudWatt
« Ce contrôle d’innocuité nécessite de disposer temporairement des clés de déchiffrement pour ces documents. C’est pourquoi elles sont traitées sur des zones serveurs sécurisées entièrement maîtrisées par l’Administration, non exposées sur Internet. A aucun moment elles ne sont disponibles sur les serveurs Tchap, et elles sont immédiatement détruites à la fin du traitement » précise encore le site. Rien d’anormal jusqu’ici si ce n’est cette mention de « zones serveurs sécurisées entièrement maîtrisés par l’Administration ».
La Dinsic entend-elle par la que Tchap n’est pas hébergé sur les serveurs du gouvernement ? Eh bien oui, en effet, les mentions légales de l’application nous apprennent que le prestataire d’hébergement n’est autre que CloudWatt. Si effectivement CloudWatt était à l’origine un projet de l’Etat, l’échec du cloud souverain l’a fait tomber entre les mains d’Orange. A noter que l’agent du service public réalise lui-même l’inscription au service. Son accès « est périodiquement revalidé pour qu’un compte ne soit pas maintenu dans la durée après le départ d’un agent ».