Tchap piraté, 73 000 agents exposés et un angle mort bien réel

L’attaque contre Tchap n’a pas percé les messages privés, mais elle rappelle autre chose : les applis de travail exposent bien plus que les conversations.

Le point le plus gênant dans cette affaire n’est pas forcément celui qu’on croit. Sur Tchap, les conversations privées sont restées chiffrées. Pourtant, l’attaque rappelle qu’une messagerie de travail expose aussi des profils, des annuaires, des métadonnées, des fichiers, des liens de réunion. Et ça suffit largement pour monter une attaque crédible.

Le chiffrement a tenu, pas le reste

Vendredi 12 juin 2026, la DINUM a confirmé qu’un attaquant était passé par un compte compromis. Bilan potentiel, 73 467 agents publics français concernés, soit moins de 9 % des inscrits sur Tchap. Le compte a été identifié puis bloqué.

Les échanges privés, eux, n’ont pas été lus. En revanche, les espaces de discussion publics n’étaient pas chiffrés. Des noms, adresses e-mail, photos de profil, organismes d’appartenance et contenus partagés ont donc pu être exposés. Le cybercriminel affirme aussi avoir récupéré près de 650 000 messages, des métadonnées de comptes et d’appareils, des liens de réunion, ainsi que plus de 13,5 Go de documents et de fichiers multimédias. À ce stade, les autorités françaises n’ont pas confirmé l’ensemble de ces revendications.

Une appli de travail voit beaucoup trop large

C’est là que l’étude d’Incogni devient intéressante. Sur dix applications professionnelles passées au crible, la collecte moyenne monte à 19 types de données par utilisateur. Pas un détail.

Dans le trio de tête, Gmail arrive à 26 catégories, devant Microsoft Teams avec 25, puis Zoom Workplace avec 23. On parle d’identité, d’activité dans l’app, d’identifiants d’appareil et parfois de localisation précise. Microsoft Teams et Zoom Workplace peuvent ainsi révéler où un salarié vit, travaille ou se déplace si ces données fuitent.

Autre point moins reluisant, six apps sur dix exploitent des données à des fins publicitaires ou marketing, dont Slack, Notion, Outlook, Gmail, Todoist et Zoom Workplace. Notion partage huit types de données avec des tiers, et Slack, Notion comme Todoist utilisent les adresses e-mail dans cette logique.

Le vrai risque, c’est la cartographie humaine de l’organisation

Darius Belejevas, directeur d’Incogni, le résume bien : « Le chiffrement reste essentiel, mais il ne protège que les informations qui se trouvent dans l’espace chiffré ». Puis il ajoute qu’un attaquant n’a pas besoin de lire les conversations privées s’il sait déjà qui travaille où et comment l’organisation est structurée.

Un nom seul, ce n’est pas grand-chose. Avec un service, une photo, un canal public ou un lien de réunion, ça devient une base parfaite pour l’ingénierie sociale, l’usurpation ou le vol d’identifiants. Et quand un seul compte donne de la visibilité sur des milliers de collègues, on obtient une cartographie interne d’une valeur énorme.

Ce que les organisations doivent corriger maintenant

Incogni pousse une ligne assez simple. Réduire l’accès aux canaux, annuaires et fichiers au strict besoin métier. Éviter aussi les liens de réunion, identifiants ou documents sensibles dans des espaces trop ouverts.

Mais il y a plus concret encore : MFA résistante au phishing, surveillance des téléchargements massifs et des requêtes automatisées, revue régulière des comptes inactifs, des appareils connectés et des intégrations tierces. Sans oublier la formation des équipes aux attaques qui utilisent de vrais noms et de vraies infos internes. Bref, il faut auditer toute la donnée visible, pas seulement le chiffrement.

Une étude qui regarde les apps comme un attaquant

Le périmètre couvre dix applications : Workday, Trello, Google Meet, Microsoft Outlook, Zoom Workplace, Slack, Notion, Todoist, Microsoft Teams et Gmail. Les chercheurs ont exploité les fiches de sécurité du Google Play Store, puis croisé ces données avec des violations, incidents et vulnérabilités rendus publics concernant les apps, leurs développeurs, leurs maisons mères ou leurs prestataires.