Le gouvernement français vient de publier Tchap, solution de messagerie sécurisée basée sur Matrix et Riot
Cette solution est développée par la direction interministérielle du numérique (Dinsic) et par l'entreprise franco-britannique New Vector (derrière le développement de matrix/riot).
Le but étant d'avoir une solution de messagerie sécurisée et hébergée sur des serveurs français (cloudwatt il semblerait)
Avec des contributions de l'ANSSI et de Thales (qui édite Citadel, un fork de Riot) (NdM: cf commentaire)
Le dépôt est là (https://github.com/dinsic-pim)
C'est une fédération privée et c'est pour l'instant réservé aux personnes disposant d'une adresse en @gouv.fr ou d'un domaine accepté par les administrateurs.
À noter que les messages secrets défense (et au dessus) ne sont pas autorisés a être transmis par cette messagerie
Une présentation de "Matrix dans l'état français" durant le FOSDEM
Le nom de cette solution est une référence à Claude Chappe inventeur du sémaphore, et non pas au tchip
À noter qu'à peine sortie, il y a un petit souci de sécurité
(https://twitter.com/fs0c131y/status/1118798769334759424)
La raison serait "Dû à un problème de filtrage sur l'adresse e-mail lors de l'inscription, j'ai réussi à m'inscrire sur l'application en tant qu'employé de l’Élysée sans avoir d'adresse e-mail officiel"
article de 01net
Et Exodus Privacy indique qu'il y a 2 trackers (https://reports.exodus-privacy.eu.org/fr/reports/71423/)
# Coquille
Posté par cougar (site web personnel) . Évalué à 2.
Il manque un «pas» et donc le doute est permis
[^] # Re: Coquille
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
Corrigé, merci.
[^] # Re: Coquille
Posté par Amandine . Évalué à 0.
Une autre:
Thales n'a pas participé à la réalisation de Tchap. Le seul lien c'est que Citadel est aussi un fork de Riot, comme mentionné.
[^] # Re: Coquille
Posté par Benoît Sibaud (site web personnel) . Évalué à 4.
Fin 2017, Thales a été sollicité pour réfléchir à l’élaboration d’une nouvelle messagerie sécurisée pour le gouvernement. La DINSIC a contacté Thales du fait de son expertise dans les communications sécurisées et du développement de sa propre messagerie sécurisée, Citadel. La DINSIC a choisi un autre partenaire auquel Thales n’est pas associé. Thales n’a donc aucun lien avec le développement de la messagerie Tchap. (source Thales, via GlobalSecurityMag)
# Riot...
Posté par freem . Évalué à 3.
Je suis fasciné par la générosité de nos gouvernants. Après la présence du gilet jaune obligatoire dans les véhicules, ils nous offrent un logiciel de communication basé sur Riot. Comble de bonheur, ce projet évoque le doux son de la guillotine qui s'abat :D
Oui, bon, on est dredi hein…
[^] # Re: Riot...
Posté par mahikeulbody . Évalué à 9.
Dredi ou pas, je ne comprends pas.
Le gouvernement se dote d'un outil de communication interne dont il aura la maîtrise, ce qui n'est pas le cas avec Whatsapp ou Telegram, et pour une fois ne cherche pas à réinventer la roue avec le choix d'une solution existante qu'il faut juste adapter. Je ne connais pas tous les tenants et aboutissants mais ça paraît, à première vue, judicieux.
A quel sombre complot tu fais allusion ? Celui d'inciter ensuite les français à utiliser cette solution pour mieux les espionner ?
[^] # Re: Riot...
Posté par Wawet76 (site web personnel) . Évalué à 7.
https://dictionnaire.reverso.net/anglais-francais/riot
[^] # Re: Riot...
Posté par freem . Évalué à 2.
À celui-ci, qui est certes dans mon cas un peu potache, mais, je t'avoue me faire rire, et c'est pour moi le rôle principal de mes blagues. Ensuite, je les partage quand elles sont pas trop sales, dans un bon esprit open-source, bien que j'avoue qu'il me faudrait mettre mes posts sous licence CC-0 pour faire bien les choses héhé
Plus sérieusement, je ne faisais allusion à aucun complot, juste à une image dérisionnelle (pas sûr du terme) que mon père m'a montré sur son facebook (moi, j'en ai pas) qui m'avais fait rire: elle montrait un sarko qui disant "hé, désolé, je savais pas que ma connerie d'imposer les gilets jaunes t'en ferais baver" en gros. Ajoutes à ça le mouvement des gilets jaunes, qui passe quand même, du peu que j'en sais, limite pour des émeutes, aka riot en anglais (bien que le sens contextuel de riot me semble différent et plus adapté que celui d'émeutes, mais c'est juste un sentiment), et tu as le contexte de mon jeu de mots.
Sérieusement, pourquoi se faire chier à imaginer des complots sois-même? La dérision, le détournement de certaines traduction, et les actualités suffisent amplement à trouver de quoi rire, non? Même si ce n'est pas toujours un rire joyeux…
# Classification
Posté par ptit_poulet . Évalué à 3.
Avant d'arriver sur du secret défense, il y a quelques niveaux de classification avant qui eux mêmes ne sont déjà pas autorisés sur ce type de messagerie.
[^] # Re: Classification
Posté par flan (site web personnel) . Évalué à 3.
Il n’y en a qu’un : le confidentiel défense. Mais on parle de secret de la Défense nationale pour les trois niveaux.
[^] # Re: Classification
Posté par nico4nicolas . Évalué à 2. Dernière modification le 19 avril 2019 à 14:40.
Non et non. Tu parles des niveaux d'habilitation, il en existe effectivement 3 mais le moins restrictif est le "confidentiel défense" suivi du "secret défense" et, enfin, le plus restrictif est le "très secret défense". Par contre, le niveau de divulgation de l'information peut avoir d'autres niveaux de confidentialité (au moins un : diffusion restreinte).
Pour être plus complet, voici un extrait de la page wikipedia citée plus haut :
[^] # Re: Classification
Posté par oinkoink_daotter . Évalué à 3. Dernière modification le 19 avril 2019 à 17:57.
Pour préciser (notamment la note sur kikipédia, qui est assez mal écrite): En France, il existe 3 niveaux de classification (confidentiel, secret et très secret défense). Ces niveaux de classification sont protégés par le code pénal (art. 413-x) et l'accès à ces informations nécessite une habilitation au niveau kivabien. En sus de ça, hors non protégé, "en dessous" du confidentiel, il existe un truc un peu spécial, le "diffusion restreinte", qui, contrairement à pas mal d'autres pays n'est pas un niveau de classification et ne requiert pas d'habilitation (et ne peut pas t'envoyer en prison, mais à Paul Emploi). A côté de ça, on trouve des mentions de manipulations, type "Spécial France", qui servent à préciser comment et à qui les données ciblées peuvent être communiquées. Ce ne sont pas du tout des niveaux. Par contre, leur non respect pour du classifié rentre dans le cadre de la compromission.
[^] # Re: Classification
Posté par flan (site web personnel) . Évalué à 4.
Si, et si. Et on parle bien de niveaux de classification car le niveau de divulgation ne correspond à aucune notion légale.
Pour tout ce qui concerne le secret de La Défense nationale, tout est défini par la loi et surtout la référence pratique est l'instruction générale interministérielle n° 1300, et non Wikipedia.
Je cite donc l'article R2311-2 du Code de la défense : « Les informations et supports classifiés font l'objet d'une classification comprenant trois niveaux :
1° Très Secret-Défense ;
2° Secret-Défense ;
3° Confidentiel-Défense. ».
Puisque tu en parles, le « spécial France » est une mention et peut-être apposée en plus à un niveau de classification (mais en pratique elle n'apporte pas grand-chose). Elle se matérialise par un timbre bleu supplémentaire (alors que le niveau est matérialisé par un timbre rouge).
Pour les niveaux d'habilitation, c'est un plus compliqué que ce tu décris, vu qu'au niveau TSD tu es habilité TSD dans un domaine précis (sachant que la liste de ces domaines est à ma connaissance elle-même classifiée).
# fork ?
Posté par devnewton 🍺 (site web personnel) . Évalué à 2.
Pourquoi forker? Histoire d'être incompatible avec le monde entier?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: fork ?
Posté par mahikeulbody . Évalué à 7.
On peut forker un logiciel pour tout un tas de raison, ce n'est pas nécessairement pour le rendre non interopérable avec l'existant. Tu as des infos indiquant que Tchap ne sera pas compatible avec Matrix ?
La réponse m'intéresse moi aussi.
[^] # Re: fork ?
Posté par dj_ (site web personnel) . Évalué à 5.
D'après ce que j'ai compris, c'est pour limiter la fédération aux instances tenues par le gouvernement
D'après (https://medium.com/@fs0c131y/tchap-the-super-not-secure-app-of-the-french-government-84b31517d144?sk=59e15e44ba75dd78d7248262a4c8f0b7)
Les instances acceptés sont
matrix.agent.dev-durable.tchap.gouv.fr
matrix.agent.dinum.tchap.gouv.fr
matrix.agent.intradef.tchap.gouv.fr
matrix.agent.diplomatie.tchap.gouv.fr
matrix.agent.justice.tchap.gouv.fr
matrix.agent.agriculture.tchap.gouv.fr
matrix.agent.interieur.tchap.gouv.fr
matrix.agent.social.tchap.gouv.fr
matrix.agent.education.tchap.gouv.fr
matrix.agent.finances.tchap.gouv.fr
matrix.agent.ssi.tchap.gouv.fr
matrix.agent.pm.tchap.gouv.fr
matrix.agent.elysee.tchap.gouv.fr
matrix.agent.culture.tchap.gouv.fr
matrix.agent.tchap.gouv.fr
Ses instances ne peuvent pas communiquer avec le reste du monde matrix
[^] # Re: fork ?
Posté par Maclag . Évalué à 5.
Ça fait un an qu'ils sont censés bosser dessus, j'espère qu'ils ont fait un peu plus que limiter la fédération et designer un thème.
[^] # Re: fork ?
Posté par flan (site web personnel) . Évalué à 2.
Suffit de regarder, les sources sont disponibles :)
Mais ce n’est pas dit qu’ils aient bossé à temps plein dessus…
[^] # Re: fork ?
Posté par dj_ (site web personnel) . Évalué à 2.
Ils en ont profité pour bosser sur la version 1.0 de Matrix ;)
[^] # Re: fork ?
Posté par Anonyme . Évalué à 3.
À ce propos, voir la conférence Matrix in the French State faite au FOSDEM 2018.
[^] # Re: fork ?
Posté par Amandine . Évalué à 0.
Pour ne pas réinventer la roue et gagner du temps (et de l'argent) en s'appuyant sur un logiciel libre auquel il suffit d'ajouter le design et les fonctionnalités spécifiques demandées par le cas d'usage.
Comme mentionné par mahikeulbody cela n'empêche en rien la compatibilité avec le reste du réseau Matrix (au contraire, et c'est tout l'intérêt du choix d'un protocole ouvert!), et il est prévu que le déploiement du gouvernement soit ouvert afin de pouvoir communiquer avec d'autres déploiements Matrix.
# Validation de courriel : faille de sécurité dans Python
Posté par Victor STINNER (site web personnel) . Évalué à 3.
Il s'agit du bug https://bugs.python.org/issue34155
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.