La France se dote d’une messagerie instantanée souveraine : un exemple à suivre pour les administrations européennes ?

Paris. Le 17 avril, le gouvernement français a présenté une initiative quelque peu baroque : une nouvelle messagerie sécurisée nommée Tchap. Les motivations derrière ce projet sont limpides. En 2018, 53 % des français¹ utilisaient une application de messagerie instantanée pour échanger des messages. Loin d’être cantonnées à la sphère privée, ces applications, comme Whatsapp et Telegram, sont fréquemment utilisées comme outil professionnel, comme ce fut le cas avec Telegram pour les équipes d’En Marche ! lors des élections présidentielles. Si ces deux applications utilisent le chiffrement de bout en bout des messages, Whatsapp peut partager les métadonnées des conversations (numéro de téléphone, date d’envoi des messages) avec Facebook² et dans le cas de Telegram, ce chiffrement n’est pas activé par défaut. Par ailleurs, la Russie a déjà tenté dans le passé de récupérer le contenu des messages échangés via Telegram³.

Fort de ce constat, le gouvernement français a décidé en 2018 de lancer la conception de sa propre application de messagerie instantanée, dans le but de garantir un chiffrement de bout en bout des messages ainsi que des documents échangés, cette solution s’inscrivant comme solution de complément aux moyens d’échanges de documents sécurisés de l’État français⁴.

Le lancement de Tchap mi-avril a cependant rapidement été entaché d’une faille de sécurité permettant à n’importe quel individu d’accéder à des espaces réservés à l’administration⁵. Cela était dû à une erreur dans le protocole de sécurité Matrix sur lequel se fonde l’application. Malgré ces déboires, Tchap illustre de nombreuses dynamiques en cours dans les administrations française et européenne.

D’une part cela révèle le besoin de disposer de réseaux de communications souverains, tant pour les documents critiques que pour les échanges réguliers. Or, quelle forme doit prendre la capacité de développement de logiciels ? Il n’est pas anodin que Tchap ait été développé par l’administration pour l’administration, révélant un choix stratégique de l’État français de développer lui-même ses outils numériques.

D’autre part, ce projet fait écho aux difficultés des administrations de se doter de programmes qui leurs sont propres et d’être en mesure de les maintenir dans un état opérationnel. Ainsi, la Commission européenne finance actuellement une chasse aux bugs pour quinze logiciels libres, via son programme FOSSA (Free And Open Source Software Audit), dans le but de détecter les possibles failles et de les corriger.

L’affaire Tchap met en avant les enjeux de la souveraineté numérique au sein de l’État. Ici la solution retenue a été le développement en interne de l’application. Cependant, se passer des compétences des entreprises privées, même en mutualisant les moyens à l’échelle des États européens, risque d’être infaisable pour les nombreux projets numériques encore à mener. L’Union européenne et ses États membres doivent trouver le juste milieu entre le développement en interne, et l’externalisation totale des projets.

Perspectives :

• Comment l’État français, et dans une autre mesure l’Union, peuvent-ils assurer un échange et un stockage confidentiel fiable de leurs données ? Le risque est qu’ils seront condamnés à s’appuyer sur des solutions privées, et par conséquent, non-souveraines.