"En théorie, l'application est réservée aux employés du gouvernement, en d’autre termes les personnes possédant une adresse e-mail en gouv.fr ou en elysee.fr," a-t-il confié au site spécialisé. "Dû à un problème de filtrage sur l'adresse e-mail lors de l'inscription, j'ai réussi à m'inscrire sur l'application en tant qu'employé de l'Elysée sans avoir d'adresse e-mail officiel. Ainsi, j’ai obtenu l’accès à tous les salons publics, les profils des gens inscrits, etc".

Le chercheur a contacté les services de l'État et les développeurs du protocole de communication Matrix sur lequel repose l'application pour leur communiquer le dysfonctionnement. Un correctif a rapidement été déployé pour colmater la brèche dans l'après-midi. Selon les développeurs de Matrix, aucun tiers ne l'a exploitée. Mais l'épisode adresse un bien mauvais signal pour une nouvelle messagerie censée protéger les communications de personnes œuvrant dans les rouages de l'État.

Conçue en collaboration avec la start-up franco-britannique New Vector, Tchap est une messagerie sécurisée qui utilise le chiffrement de bout en bout et est hébergée sur des serveurs de l'État. Elle est accessible aux personnes disposant d'une adresse mail professionnelle habilitée et pourra être ouverte ponctuellement à des personnes extérieures aux services de l'État. Son nom fait référence au télégraphe optique de Claude Chappe utilisé sous la Révolution jusqu'au milieu du XIXe siècle, qui est aussi célèbre pour avoir fait l'objet de l'un des tous premiers piratages de l'histoire.