En septembre 2025, l'État français a généralisé Tchap, sa messagerie chiffrée souveraine, à l'ensemble de ses agents, pour les soustraire au risque d'interception et remplacer les applications commerciales comme WhatsApp, Telegram ou Signal. Environ 300.000 agents publics l'utilisent, selon une note ministérielle de janvier 2026. Neuf mois après cette généralisation, le 7 juin 2026, l'Agence nationale de la sécurité des systèmes d'information a détecté une compromission du service. Ces deux faits coexistent. L'outil bâti pour la sécurité a connu une fuite de données, non par une faille de son code, mais par un identifiant volé. La question utile n'est pas de savoir si Tchap a été piraté. Elle est de mesurer ce que cette intrusion dit de la souveraineté numérique française, et de l'écart entre un serveur souverain et un accès réellement sûr.
L'infrastructure d'une souveraineté revendiquée
Tchap n'est pas une application comme une autre. C'est une pièce de doctrine. Développée par l'État et opérée par la Direction interministérielle du numérique, elle est hébergée sur des serveurs présentés comme souverains et conformes au règlement européen sur les données. Une circulaire du Premier ministre du 25 juillet 2025 a ordonné son déploiement dans toute la sphère publique et les cabinets ministériels à compter du 1er septembre 2025. Techniquement, Tchap repose sur le protocole ouvert Matrix, un choix censé permettre l'audit du code et l'hébergement national, deux piliers de l'argument de souveraineté, même si aucun audit ne protège d'un identifiant volé.
L'objectif affiché était explicite. Le gouvernement invoquait un risque croissant d'interception des communications des agents et les failles potentielles des applications grand public. Remplacer WhatsApp, Telegram, Signal ou Discord par un outil national relevait d'une logique de souveraineté, garder la donnée publique hors de la portée d'acteurs étrangers ou privés.
Le déploiement a été rapide et massif. Environ 300.000 agents publics utilisaient Tchap au début de 2026, sur poste fixe comme sur mobile. Cette concentration est sa force et sa vulnérabilité. Un outil unique pour toute l'administration mutualise la sécurité, mais il mutualise aussi le risque. Tout ce qui touche Tchap touche, en principe, l'ensemble de l'appareil d'État.
La guerre des flux, ce qui a fui et ce qui n'a pas fui
Le 7 juin 2026, l'Anssi a détecté une activité malveillante à la suite d'une usurpation de compte. La Direction interministérielle du numérique a publié un communiqué le 8 juin, parlant d'une fuite maîtrisée. Le compte à l'origine des requêtes a été identifié et bloqué pour couper l'accès persistant de l'attaquant. L'incident a été notifié à la Commission nationale de l'informatique et des libertés.
La ligne officielle distingue deux types de contenus. Les conversations privées, protégées par un chiffrement de bout en bout, ne seraient pas concernées. La fuite porterait sur des salons publics, dont le contenu n'est pas chiffré et peut être rejoint par tout utilisateur. La Dinum a rappelé aux agents de ne pas y échanger d'informations sensibles, ce qui suggère, en creux, que la consigne n'était pas toujours respectée.
L'ampleur revendiquée est tout autre, mais non confirmée. Des publications sur des forums de cybercriminels, relayées par le site French Breaches, évoquent 643.000 messages, environ 73.000 utilisateurs concernés et 976 salons de discussion, ainsi que plusieurs gigaoctets de pièces jointes. La Dinum n'a pas validé ces chiffres. À ce stade, deux récits coexistent, une fuite circonscrite à des espaces publics selon l'État, une exfiltration de masse selon l'attaquant. Le décompte exact reste à établir. Selon le récit du pirate, le point d'entrée aurait été un compte rattaché à l'Éducation nationale, exploité ensuite pour parcourir plusieurs fonctionnalités de la messagerie. La Dinum n'a pas commenté ce détail, mais l'incident a été jugé assez sensible pour être notifié à la Cnil.
L'inertie, le maillon humain plutôt que le code
C'est ici que le dossier bascule. La Dinum écarte explicitement une faille technique du code de Tchap. L'intrusion résulte d'une usurpation de compte, c'est-à-dire de l'utilisation d'identifiants légitimes d'un agent. La porte n'a pas été forcée, elle a été ouverte avec une clé volée.
Ce point déplace tout le raisonnement. La souveraineté de l'infrastructure, serveurs nationaux et chiffrement maison, n'a rien à voir avec le vecteur de l'attaque. Un coffre-fort peut être français et inviolable, si sa clé circule, le lieu de fabrication ne protège plus rien. Le maillon faible n'était pas le code, c'était l'humain qui s'y connecte.
L'incident s'inscrit d'ailleurs dans une série. Des comptes d'agents avaient déjà été compromis dans la sphère publique ces derniers mois, au ministère de l'Intérieur comme au ministère des Sports. Dans chaque cas, ce n'est pas l'outil qui a été percé, mais un compte qui a été détourné, le même schéma qui se répète d'une administration à l'autre. La récurrence du même vecteur, le compte légitime détourné, indique un problème de discipline d'accès plus que de technologie. Notons que l'État a réagi en accélérant le déploiement de l'authentification multifacteur, aveu implicite que celle-ci n'était pas généralisée.
L'analyse transversale, souveraineté numérique et dépendance
Le dossier relie deux marchés, celui de la souveraineté numérique et celui de la sécurité opérationnelle. La France a fait un pari industriel, bâtir ses propres outils plutôt que dépendre d'applications étrangères. Ce pari a une valeur stratégique réelle, car il soustrait la donnée publique à des juridictions et des entreprises tierces.
Mais la souveraineté de l'outil ne dit rien de la sécurité de son usage. En généralisant Tchap à 300.000 agents, l'État a créé une cible unique et homogène, dont la valeur pour un attaquant croît avec le nombre d'utilisateurs. Le bénéfice de souveraineté et le risque de concentration progressent ensemble.
Le rapport de force se mesure là. Le déplacement vers un outil national répond au risque d'interception étrangère, mais il déplace le point faible vers la gestion des identités et la formation des agents. La dépendance n'a pas disparu, elle a changé de nature. Hier dépendance à un fournisseur étranger, aujourd'hui dépendance à la discipline interne de centaines de milliers d'utilisateurs. Un attaquant n'a d'ailleurs plus besoin de viser des dizaines d'outils ministériels, un seul accès légitime ouvre désormais une fenêtre sur toute l'administration. La mutualisation a un prix de sécurité que la doctrine n'avait pas chiffré.
Le dilemme dépasse la France. Chaque État qui internalise ses outils numériques pour échapper à la dépendance étrangère hérite du même point faible, car la sécurité ne se décrète pas avec le lieu d'hébergement, elle se gagne dans la gestion quotidienne des accès.
Les angles morts du dossier
Le biais de linéarité
Un incident maîtrisé ne préfigure pas un effondrement. L'État a détecté, bloqué et notifié dans la journée. Conclure d'une fuite de salons publics à une faillite de la souveraineté numérique serait une extrapolation abusive.
La cohésion du bloc des acteurs
L'appareil d'État n'est pas monolithique. La Dinum opère l'outil, l'Anssi le surveille, la Cnil contrôle les données, chaque ministère gère ses agents. Une faille de coordination entre ces acteurs pèse autant qu'une faille technique.
Les points de contestation factuels
L'ampleur est disputée. Les 643.000 messages et 73.000 utilisateurs proviennent d'une revendication d'attaquant relayée par un site spécialisé, que la Dinum n'a pas confirmée. La version officielle parle d'une fuite circonscrite aux salons publics. Aucune attribution à un acteur étatique n'a été établie, et aucune ne sera avancée ici sans preuve.
Les limites méthodologiques
Les premières communications de crise minimisent souvent, les revendications d'attaquants exagèrent souvent. La vérité se situe rarement à mi-chemin et ne sera connue qu'après l'analyse des journaux d'événements. Tout chiffre avancé aujourd'hui est provisoire.
Le scénario alternatif crédible
Une généralisation rapide de l'authentification multifacteur et une hygiène d'accès renforcée pourraient faire de cet incident un signal d'alarme utile plutôt qu'une brèche durable. À l'inverse, si le vecteur du compte détourné persiste, aucun outil souverain ne suffira, et la doctrine devra être revue. Le même outil peut alors devenir un atout ou une cible, selon la seule rigueur de la gestion des accès.
Les conséquences stratégiques
Le seuil à surveiller n'est pas le nombre de messages exposés. C'est la généralisation effective de l'authentification multifacteur et de la formation des agents, les deux variables qui décident réellement de la sécurité d'un outil souverain. La conséquence actionnable pour un décideur public tient en une inversion de priorité, investir dans la gestion des identités autant que dans l'hébergement souverain, car un serveur national mal protégé vaut moins qu'un service étranger bien administré. L'horizon utile court sur les prochains mois, le temps que l'analyse des journaux établisse l'ampleur réelle et que la doctrine soit ajustée. Au-delà, le risque n'est pas la perte de souveraineté. Il est la fausse sécurité, croire qu'un drapeau sur un serveur dispense de verrouiller la porte.
La vraie question n'est pas de savoir si Tchap a été piraté. Le code n'a pas cédé, c'est un identifiant volé qui a ouvert la porte. La question est de savoir si la souveraineté de l'infrastructure a jamais été le bon indicateur, quand le maillon faible reste l'humain qui s'y connecte.
Un serveur souverain ne protège pas davantage qu'un serveur étranger si l'identifiant qui l'ouvre circule sur un forum. La souveraineté numérique se jouera moins sur le lieu d'hébergement que sur la discipline de ceux qui s'y connectent.
Cédric Pellicer