C’est un scandale absolu. Une nouvelle preuve accablante de l’incompétence chronique de l’État français en matière de cybersécurité. Tchap, la messagerie instantanée chiffrée censée être l’outil sécurisé des agents publics, a été victime d’une cyberattaque majeure. L’Agence nationale de la sécurité des systèmes d’information (Anssi) a détecté une compromission du service suite à une usurpation de compte. La Direction interministérielle du numérique (Dinum) parle d’un « incident maîtrisé », mais le mal est fait : des centaines de milliers de messages ont potentiellement été exposés.

Selon des revendications sur le dark web relayées par FrenchBreaches, plus de 643.000 messages issus de 73.000 agents dans 976 salons de discussion auraient fuité. Même si la Dinum tente de minimiser en rappelant que les conversations privées chiffrées ne seraient pas accessibles, le simple fait qu’une telle brèche soit possible sur l’outil officiel de l’État est une insulte à l’intelligence des Français.

Comment peut-on en arriver là ?

L’État nous serine depuis des années qu’il faut lui faire confiance avec nos données les plus intimes : déclarations d’impôts, dossiers médicaux via Mon Espace Santé, fichiers de police, données des retraites, informations sur nos enfants à l’école, traçabilité vaccinale, et j’en passe. Il pousse même ses agents à abandonner WhatsApp ou Telegram au profit de Tchap, présentée comme la solution souveraine et sécurisée face aux « risques croissants » des applications grand public.

Et voilà que cette même Tchap, généralisée en septembre 2025 pour tous les agents publics, se fait pirater en plein vol. L’État, qui se pose en gardien ultime de notre vie privée et de la souveraineté numérique, se révèle incapable de protéger son propre outil de communication interne. C’est non seulement grotesque, c’est dangereux.

Une hypocrisie qui confine au mépris

On nous vante la « souveraineté numérique » française, on crée des applications d’État à grand renfort de communication, on critique les GAFAM… et au premier incident sérieux, c’est la débandade. L’Anssi a dû intervenir en urgence, le compte malveillant a été bloqué, la Cnil notifiée. Mais combien de temps a duré l’intrusion avant détection ? Quelles informations sensibles ont circulé dans ces salons publics ? Combien de fonctionnaires ont vu leurs échanges professionnels ou personnels exposés ?

La Dinum assure que l’historique des conversations privées chiffrées n’est pas accessible. On est censés les croire sur parole ? Après ce fiasco, la confiance est brisée. L’État exige de nous une transparence totale sur nos vies (via des dizaines de plateformes officielles) mais se montre incapable de sécuriser ses propres systèmes. C’est le comble de l’arrogance bureaucratique.

Pire encore : cet incident survient dans un contexte où l’État accumule les données personnelles à une échelle inédite. Dossier médical partagé, fichiers Pôle Emploi, bases de données fiscales, identités numériques, caméras de surveillance, et maintenant cette messagerie obligatoire pour les agents. Si l’État ne sait pas protéger Tchap, comment peut-on lui faire confiance pour le reste ?

L’incompétence érigée en système

Ce n’est pas un accident isolé. La France multiplie les failles et les fuites de données ces dernières années. Chaque fois, les mêmes discours : « incident maîtrisé », « leçons seront tirées », « renforcement de la sécurité ». Et rien ne change vraiment. Pendant ce temps, les cyberattaques contre les hôpitaux, les collectivités, les entreprises françaises se succèdent, et l’État, censé être le rempart, montre ses propres faiblesses.

Tchap devait incarner la réponse française aux Big Tech américaines. Résultat : un outil d’État qui se fait hacker aussi facilement. Les agents publics, obligés de l’utiliser, sont les premières victimes de cette incompétence. Et derrière eux, c’est tout le citoyen lambda qui doit s’inquiéter : si l’État ne protège pas ses propres communications, que valent ses promesses de protection de nos données personnelles ?

Ce scandale révèle une vérité brutale : l’État est un colosse aux pieds d’argile en cybersécurité. Il collecte massivement, il surveille, il centralise… mais il ne sait pas défendre. C’est une menace directe pour nos libertés individuelles et pour la sécurité nationale.

Exiger des comptes et une vraie souveraineté

Face à ce fiasco, les responsables doivent répondre. Pas seulement des sanctions techniques ou des communiqués lénifiants. Qui a validé le déploiement généralisé de Tchap sans une sécurité à toute épreuve ? Quels budgets ont été alloués et où sont-ils passés ? Pourquoi l’Anssi n’a-t-elle pas anticipé cette vulnérabilité ?

Les Français ont le droit d’être scandalisés. Nous confions à l’État nos informations les plus privées – santé, finances, famille, opinions parfois – et il se montre incapable de les protéger. Cette incompétence n’est plus acceptable à l’ère du numérique et des menaces hybrides (États étrangers, hackers, criminels).

Il est temps d’exiger une vraie souveraineté numérique, pas celle de la communication gouvernementale, mais celle qui repose sur des systèmes réellement sécurisés, des audits indépendants permanents et une responsabilité politique claire. Tant que l’État collectionnera nos données sans savoir les défendre, il restera un danger pour les libertés qu’il prétend protéger.

Le piratage de Tchap n’est pas un simple « incident ». C’est la preuve éclatante que l’État français, en matière de cybersécurité, est dramatiquement en dessous de ce que les citoyens sont en droit d’attendre. Assez de l’amateurisme. Assez du mépris. Les Français méritent mieux que cette impuissance d’État sur un sujet aussi vital.