Journal Sortie de Tchap, messagerie d'état basé sur Matrix et Riot

Posté par (page perso) . Licence CC by-sa.
Tags :
31
18
avr.
2019

Le gouvernement français vient de publier Tchap, solution de messagerie sécurisée basée sur Matrix et Riot

Cette solution est développée par la direction interministérielle du numérique (Dinsic) et par l'entreprise franco-britannique New Vector (derrière le développement de matrix/riot).

Le but étant d'avoir une solution de messagerie sécurisée et hébergée sur des serveurs français (cloudwatt il semblerait)

Avec des contributions de l'ANSSI et de Thales (qui édite Citadel, un fork de Riot) (NdM: cf commentaire)

Le dépôt est là (https://github.com/dinsic-pim)

C'est une fédération privée et c'est pour l'instant réservé aux personnes disposant d'une adresse en @gouv.fr ou d'un domaine accepté par les administrateurs.

À noter que les messages secrets défense (et au dessus) ne sont pas autorisés a être transmis par cette messagerie

Une présentation de "Matrix dans l'état français" durant le FOSDEM

Le nom de cette solution est une référence à Claude Chappe inventeur du sémaphore, et non pas au tchip

À noter qu'à peine sortie, il y a un petit souci de sécurité

(https://twitter.com/fs0c131y/status/1118798769334759424)

La raison serait "Dû à un problème de filtrage sur l'adresse e-mail lors de l'inscription, j'ai réussi à m'inscrire sur l'application en tant qu'employé de l’Élysée sans avoir d'adresse e-mail officiel"
article de 01net

Et Exodus Privacy indique qu'il y a 2 trackers (https://reports.exodus-privacy.eu.org/fr/reports/71423/)

  • # Coquille

    Posté par (page perso) . Évalué à 2.

    À noter que les messages secrets défense (et au dessus) ne sont autorisé a être transmis par cette messagerie

    Il manque un «pas» et donc le doute est permis

    • [^] # Re: Coquille

      Posté par (page perso) . Évalué à 3.

      Corrigé, merci.

      • [^] # Re: Coquille

        Posté par . Évalué à 0.

        Une autre:

        Avec des contributions de l'ANSSI et de Thales (qui édite Citadel, un fork de Riot)

        Thales n'a pas participé à la réalisation de Tchap. Le seul lien c'est que Citadel est aussi un fork de Riot, comme mentionné.

        • [^] # Re: Coquille

          Posté par (page perso) . Évalué à 4.

          Fin 2017, Thales a été sollicité pour réfléchir à l’élaboration d’une nouvelle messagerie sécurisée pour le gouvernement. La DINSIC a contacté Thales du fait de son expertise dans les communications sécurisées et du développement de sa propre messagerie sécurisée, Citadel. La DINSIC a choisi un autre partenaire auquel Thales n’est pas associé. Thales n’a donc aucun lien avec le développement de la messagerie Tchap. (source Thales, via GlobalSecurityMag)

  • # Riot...

    Posté par . Évalué à 3.

    Je suis fasciné par la générosité de nos gouvernants. Après la présence du gilet jaune obligatoire dans les véhicules, ils nous offrent un logiciel de communication basé sur Riot. Comble de bonheur, ce projet évoque le doux son de la guillotine qui s'abat :D

    Oui, bon, on est dredi hein…

    • [^] # Re: Riot...

      Posté par . Évalué à 9.

      Dredi ou pas, je ne comprends pas.

      Le gouvernement se dote d'un outil de communication interne dont il aura la maîtrise, ce qui n'est pas le cas avec Whatsapp ou Telegram, et pour une fois ne cherche pas à réinventer la roue avec le choix d'une solution existante qu'il faut juste adapter. Je ne connais pas tous les tenants et aboutissants mais ça paraît, à première vue, judicieux.

      A quel sombre complot tu fais allusion ? Celui d'inciter ensuite les français à utiliser cette solution pour mieux les espionner ?

      • [^] # Re: Riot...

        Posté par (page perso) . Évalué à 7.

        Dredi ou pas, je ne comprends pas.

        https://dictionnaire.reverso.net/anglais-francais/riot

      • [^] # Re: Riot...

        Posté par . Évalué à 2.

        A quel sombre complot tu fais allusion ?

        À celui-ci, qui est certes dans mon cas un peu potache, mais, je t'avoue me faire rire, et c'est pour moi le rôle principal de mes blagues. Ensuite, je les partage quand elles sont pas trop sales, dans un bon esprit open-source, bien que j'avoue qu'il me faudrait mettre mes posts sous licence CC-0 pour faire bien les choses héhé

        Plus sérieusement, je ne faisais allusion à aucun complot, juste à une image dérisionnelle (pas sûr du terme) que mon père m'a montré sur son facebook (moi, j'en ai pas) qui m'avais fait rire: elle montrait un sarko qui disant "hé, désolé, je savais pas que ma connerie d'imposer les gilets jaunes t'en ferais baver" en gros. Ajoutes à ça le mouvement des gilets jaunes, qui passe quand même, du peu que j'en sais, limite pour des émeutes, aka riot en anglais (bien que le sens contextuel de riot me semble différent et plus adapté que celui d'émeutes, mais c'est juste un sentiment), et tu as le contexte de mon jeu de mots.

        Sérieusement, pourquoi se faire chier à imaginer des complots sois-même? La dérision, le détournement de certaines traduction, et les actualités suffisent amplement à trouver de quoi rire, non? Même si ce n'est pas toujours un rire joyeux…

  • # Classification

    Posté par . Évalué à 3.

    À noter que les messages secrets défense (et au dessus) ne sont pas autorisés a être transmis par cette messagerie

    Avant d'arriver sur du secret défense, il y a quelques niveaux de classification avant qui eux mêmes ne sont déjà pas autorisés sur ce type de messagerie.

    • [^] # Re: Classification

      Posté par (page perso) . Évalué à 3.

      Il n’y en a qu’un : le confidentiel défense. Mais on parle de secret de la Défense nationale pour les trois niveaux.

      • [^] # Re: Classification

        Posté par . Évalué à 2. Dernière modification le 19/04/19 à 14:40.

        les trois niveaux

        Non et non. Tu parles des niveaux d'habilitation, il en existe effectivement 3 mais le moins restrictif est le "confidentiel défense" suivi du "secret défense" et, enfin, le plus restrictif est le "très secret défense". Par contre, le niveau de divulgation de l'information peut avoir d'autres niveaux de confidentialité (au moins un : diffusion restreinte).

        Pour être plus complet, voici un extrait de la page wikipedia citée plus haut :

        La France utilise cinq niveaux de secret. Il en existe quatre pour les informations classées (« Très secret Défense », « Secret Défense », « Confidentiel Défense » et « Diffusion restreinte ») ainsi qu'une pour les informations non classées (cependant divisée en quatre catégories). Il existe également une mention « Spécial France » mais elle n'est pas un niveau de secret à part entière.

        La loi du 15 juillet 2008 sur les archives, promulguée par le gouvernement François Fillon, a notamment créé la catégorie d'« archives incommunicables » pour lesquelles aucune procédure de déclassement n'est prévue

        • [^] # Re: Classification

          Posté par . Évalué à 3. Dernière modification le 19/04/19 à 17:57.

          Pour préciser (notamment la note sur kikipédia, qui est assez mal écrite): En France, il existe 3 niveaux de classification (confidentiel, secret et très secret défense). Ces niveaux de classification sont protégés par le code pénal (art. 413-x) et l'accès à ces informations nécessite une habilitation au niveau kivabien. En sus de ça, hors non protégé, "en dessous" du confidentiel, il existe un truc un peu spécial, le "diffusion restreinte", qui, contrairement à pas mal d'autres pays n'est pas un niveau de classification et ne requiert pas d'habilitation (et ne peut pas t'envoyer en prison, mais à Paul Emploi). A côté de ça, on trouve des mentions de manipulations, type "Spécial France", qui servent à préciser comment et à qui les données ciblées peuvent être communiquées. Ce ne sont pas du tout des niveaux. Par contre, leur non respect pour du classifié rentre dans le cadre de la compromission.

        • [^] # Re: Classification

          Posté par (page perso) . Évalué à 4.

          Si, et si. Et on parle bien de niveaux de classification car le niveau de divulgation ne correspond à aucune notion légale. 

          Pour tout ce qui concerne le secret de La Défense nationale, tout est défini par la loi et surtout la référence pratique est l'instruction générale interministérielle n° 1300, et non Wikipedia.

          Je cite donc l'article R2311-2 du Code de la défense : « Les informations et supports classifiés font l'objet d'une classification comprenant trois niveaux :
          1° Très Secret-Défense ;
          2° Secret-Défense ;
          3° Confidentiel-Défense.
           ».

          Puisque tu en parles, le « spécial France » est une mention et peut-être apposée en plus à un niveau de classification (mais en pratique elle n'apporte pas grand-chose). Elle se matérialise par un timbre bleu supplémentaire (alors que le niveau est matérialisé par un timbre rouge).

          Pour les niveaux d'habilitation, c'est un plus compliqué que ce tu décris, vu qu'au niveau TSD tu es habilité TSD dans un domaine précis (sachant que la liste de ces domaines est à ma connaissance elle-même classifiée).

  • # fork ?

    Posté par (page perso) . Évalué à 2.

    Pourquoi forker? Histoire d'être incompatible avec le monde entier?

    Incubez l'excellence sur https://linuxfr.org/board/

    • [^] # Re: fork ?

      Posté par . Évalué à 7.

      Histoire d'être incompatible avec le monde entier?

      On peut forker un logiciel pour tout un tas de raison, ce n'est pas nécessairement pour le rendre non interopérable avec l'existant. Tu as des infos indiquant que Tchap ne sera pas compatible avec Matrix ?

      Pourquoi forker ?

      La réponse m'intéresse moi aussi.

      • [^] # Re: fork ?

        Posté par (page perso) . Évalué à 5.

        D'après ce que j'ai compris, c'est pour limiter la fédération aux instances tenues par le gouvernement

        D'après (https://medium.com/@fs0c131y/tchap-the-super-not-secure-app-of-the-french-government-84b31517d144?sk=59e15e44ba75dd78d7248262a4c8f0b7)

        Les instances acceptés sont

        matrix.agent.dev-durable.tchap.gouv.fr
        matrix.agent.dinum.tchap.gouv.fr
        matrix.agent.intradef.tchap.gouv.fr
        matrix.agent.diplomatie.tchap.gouv.fr
        matrix.agent.justice.tchap.gouv.fr
        matrix.agent.agriculture.tchap.gouv.fr
        matrix.agent.interieur.tchap.gouv.fr
        matrix.agent.social.tchap.gouv.fr
        matrix.agent.education.tchap.gouv.fr
        matrix.agent.finances.tchap.gouv.fr
        matrix.agent.ssi.tchap.gouv.fr
        matrix.agent.pm.tchap.gouv.fr
        matrix.agent.elysee.tchap.gouv.fr
        matrix.agent.culture.tchap.gouv.fr
        matrix.agent.tchap.gouv.fr

        Ses instances ne peuvent pas communiquer avec le reste du monde matrix

        • [^] # Re: fork ?

          Posté par . Évalué à 5.

          Ça fait un an qu'ils sont censés bosser dessus, j'espère qu'ils ont fait un peu plus que limiter la fédération et designer un thème.

      • [^] # Re: fork ?

        Posté par . Évalué à 0.

        Pourquoi forker ?

        Pour ne pas réinventer la roue et gagner du temps (et de l'argent) en s'appuyant sur un logiciel libre auquel il suffit d'ajouter le design et les fonctionnalités spécifiques demandées par le cas d'usage.
        Comme mentionné par mahikeulbody cela n'empêche en rien la compatibilité avec le reste du réseau Matrix (au contraire, et c'est tout l'intérêt du choix d'un protocole ouvert!), et il est prévu que le déploiement du gouvernement soit ouvert afin de pouvoir communiquer avec d'autres déploiements Matrix.

  • # Validation de courriel : faille de sécurité dans Python

    Posté par (page perso) . Évalué à 3.

    La raison serait "Dû à un problème de filtrage sur l'adresse e-mail lors de l'inscription, …"

    Il s'agit du bug https://bugs.python.org/issue34155

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.