Tchap, la messagerie qui n'a pas de secrets

Patrick Wolf

Tchap is watching you

Notre premier ministre impose aux agents de l’État l’usage de la messagerie Tchap à compter du 1er septembre 2025. Tchap repose sur le protocole matrix longtemps présenté comme l’avenir de la communication sécurisée et décentralisée. Soutenu par un protocole ouvert, une communauté de développeurs dynamique et des passerelles vers les systèmes propriétaires, il promet l’interopérabilité et l’absence de verrouillage des fournisseurs.

Bien que matrix soit un protocole ouvert, le client utilisé par Tchap, Element , les services hébergés (EMS) et les outils d’infrastructure clefs (comme la passerelle “Secure Border Gateway ”) sont développés et gérés par Element Technologies Ltd, une société basée au Royaume-Uni.

Cela n’est pas négligeable en matière de sécurité. Après le Brexit, le Royaume-Uni ne fait plus partie du cadre juridique de l’UE et a promulgué des lois de surveillance radicales comme la Loi sur les pouvoirs d’enquête (Investigatory Powers Act ). Cette législation permet :

  • Avis de capacité technique secrets (Secret Technical Capability Notice) pouvant obliger les fournisseurs à insérer des portes dérobées ;
  • Interception de données en masse et interférence d’équipement ;
  • Ordonnances de non-publication (Gag orders) qui empêchent la divulgation publique de tels mandats.

Par le déploiement de matrix, qui repose sur l’hébergement d’Element et utilise un logiciel conçu par Element, Tchap est exposé à ces risques. Même si le serveur est hébergé dans l’UE, les mises à jour logicielles ou les dépendances provenant d’une entité britannique peuvent introduire une exposition juridictionnelle incompatible avec Schrems II ( , (). Invalidation du Privacy shield : les suites de l’arrêt de la CJUE. Retrieved from https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue ) (Schrems II est un arrêt rendu par la Cour de justice de l’Union européenne (CJUE)) et les articles 44 à 46 du RGPD ( , (). CHAPITRE V – Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales. Retrieved from https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre5 ) .

En outre, le Royaume-Uni fait partie des cinq services de renseignements1 surnommés les « cinq yeux » (Five eyes), qui ont mis en place une surveillance électronique planétaire ( , (). Surveillance électronique planétaire. Allia. ) par le biais du réseau Echelon.

L’utilisation de Tchap va-t-il renforcer la sécurité des communications ( , (). Renforcement de la sécurité des communications électroniques par messagerie instantanée au sein de la sphère publique et des cabinets ministériels. Retrieved from https://www.legifrance.gouv.fr/circulaire/id/45618?origin=list ) comme la circulaire l’affirme ? Nul doute que les conversations de nos hauts fonctionnaires ne tomberont pas dans l’oreille d’un sourd.

Bibliographie

Légifrance (2025)
(). Renforcement de la sécurité des communications électroniques par messagerie instantanée au sein de la sphère publique et des cabinets ministériels. Retrieved from https://www.legifrance.gouv.fr/circulaire/id/45618?origin=list
CNIL (2016)
(). CHAPITRE V – Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales. Retrieved from https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre5
CNIL (2020)
(). Invalidation du Privacy shield : les suites de l’arrêt de la CJUE. Retrieved from https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue
Campbell (2001)
(). Surveillance électronique planétaire. Allia.
    • Government Communications Headquarters (GCHQ) du Royaume-Uni
    • National Security Agency (NSA) des États Unis
    • Centre de la sécurité des télécommunications (CST) du Canada
    • Australian Signals Directorate (ASD) de l’Australie
    • Government Communications Security Bureau (GCSB) de la Nouvelle Zélande
     ↩︎