Het Franse Agentschap voor Digitale Zaken (DINUM) heeft onlangs een beveiligingsadvies uitgebracht waarin staat dat hackers met succes het interne gecodeerde communicatieplatform Tchap van de Franse overheid zijn binnengedrongen door een legitiem gebruikersaccount te kapen, wat mogelijk heeft geresulteerd in ongeoorloofde toegang tot de persoonlijke informatie die door sommige gebruikers in het gesprek wordt gedeeld.
Tchap werd in 2018 gezamenlijk ontwikkeld door het Franse Government Digital Affairs Agency en het Franse National Information Systems Security Agency (ANSSI). Het is gebaseerd op het gedecentraliseerde Matrix-protocol en is gepositioneerd als een instant messaging- en samenwerkingskantoortool voor de Franse publieke sector. Het staat alleen open voor gebruikers in het openbare dienstverleningssysteem. De app is sinds de lancering blijven groeien en heeft nu meer dan 300.000 maandelijkse actieve gebruikers in de Franse publieke sector en is meer dan 500.000 keer gedownload in de Google Play Store. Begin augustus 2025 vaardigde de Franse premier François Bayrou een bericht uit waarin hij alle ambtenaren verplichtte Tchap te gebruiken in officiële communicatie en verbood hij het gebruik van communicatietoepassingen van buitenlandse fabrikanten, waardoor de reikwijdte van het gebruik en de gegevensoverdrachtcapaciteit van het platform aanzienlijk werden uitgebreid.
DINUM maakte in een maandag uitgegeven persbericht bekend dat ANSSI zondag voor het eerst abnormaal inbraakgedrag op het Tchap-platform ontdekte. Na voorlopig onderzoek werd bevestigd dat de aanvaller het systeem binnenkwam via het gecompromitteerde account van een gebruiker en zo toegang kreeg tot het gecodeerde communicatieplatform. Na het incident rapporteerde DINUM het beveiligingsincident aan de Franse toezichthouder voor gegevensbescherming CNIL, omdat de persoonlijke gegevens die door sommige gebruikers in de chat worden gedeeld mogelijk door aanvallers zijn geopend of geëxporteerd. Tegelijkertijd stuurde DINUM ook een herinnering aan alle Tchap-gebruikers, waarin werd benadrukt dat openbare chatrooms op het platform open staan voor elke geregistreerde gebruiker, en dat voor de inhoud in dergelijke openbare ruimtes geen encryptiebescherming is ingeschakeld.
DINUM verklaarde dat het het specifieke account waarvan het kwaadwillige verzoek afkomstig was, heeft vergrendeld en onmiddellijk na ontdekking van het probleem heeft verboden om het continue toegangskanaal van de aanvaller af te sluiten en voorwaarden te scheppen voor daaropvolgende diepgaande analyse van de toegangsreikwijdte en potentiële gegevenslekken. Het huidige onderzoek is nog steeds gaande en het technische team voert een gedetailleerde vergelijking uit van gebeurtenislogboeken om te bepalen tot welke sessies de aanvaller toegang heeft gehad, evenals het type en de omvang van de gegevens die mogelijk zijn verzonden. Ambtenaren herhaalden ook dat er geen persoonlijke, gevoelige of vertrouwelijke informatie mag worden gedeeld in de openbare chatrooms van Tchap, en dat dergelijke inhoud alleen in privéchatrooms mag worden gecommuniceerd, wat een duidelijke vereiste is in de gebruiksvoorwaarden van het platform.
Hoewel DINUM niet meer technische details heeft bekendgemaakt, heeft een aanvaller afgelopen weekend het initiatief genomen om de verantwoordelijkheid voor het incident op te eisen en een voorbeeld van bestanden gepubliceerd die naar verluidt van Tchap zijn gestolen, waarbij hij beweert dat hij toegang tot het platform heeft verkregen na het uitvoeren van een social engineering-aanval. De aanvaller beweerde dat ze "via social engineering toegang hadden verkregen tot een geldig account in de onderwijs-shard (matrix.agent.education.tchap.gouv.fr)" en benadrukte dat de blootgestelde gegevens alleen de inhoud waren die toegankelijk was voor dit ene account, en dat er mogelijk meer gegevens in andere shards staan.
Volgens hun eigen verhaal hebben ze bij deze aanval LDAP-gegevens verkregen waarvan werd vermoed dat ze hardgecodeerd in het script waren opgeslagen. Deze inloggegevens zouden afkomstig zijn van een PowerShell-script dat werd gedeeld door een regionale directeur van de Franse belastingdienst. Bovendien beweerden de aanvallers meer dan 13,5 GB aan documenten en mediabestanden van het Tchap-platform te hebben geëxporteerd, die door Franse overheidsfunctionarissen bij hun dagelijks gebruik werden geüpload en gedeeld. Het verklaarde verder dat ze bijna 650.000 berichtrecords en gerelateerde informatie van meer dan 73.000 accounts hadden vastgelegd, inclusief gevoelige elementen zoals e-mailadressen van gebruikers, aansluitingsinformatie, koppelingen naar vergaderingen en metagegevens van accounts en apparaten.
Wat de technische details betreft, beweerden de aanvallers ook dat de architectuur van Tchap een ernstige tekortkoming vertoont: "alle bestanden die op elke shard op het platform zijn gedeeld, kunnen zonder token worden gedownload." Volgens dit systeem kan, zodra de berichtinhoud met de media-URL is verkregen, de media-ID worden gebruikt om het bijbehorende bestand direct te downloaden zonder authenticatie, zonder te worden beperkt door de scherf waarin het zich bevindt. Op dit moment heeft DINUM de bovengenoemde specifieke technische kwetsbaarheden en dataschaal niet officieel bevestigd. BleepingComputer heeft hierover een vraag naar DINUM gestuurd, maar heeft op het moment van schrijven nog geen antwoord ontvangen.
Het is vermeldenswaard dat Frankrijk vorige maand een 15-jarige tienerverdachte op de hoogte bracht en arresteerde, die ervan werd beschuldigd gegevens te verkopen die waren gestolen van het Franse nationale veiligheidsdocumentenbureau ANTS (het nationale agentschap dat verantwoordelijk is voor de afgifte en het beheer van officiële identiteits- en registratiedocumenten). De zaak vloeide voort uit een cyberaanval op ANTS in april van dit jaar, waarna de aanvallers gestolen gegevens verkochten op ondergrondse fora, wat aanleiding gaf tot grote bezorgdheid in de samenleving. Het huidige Tchap-inbraakincident benadrukt nogmaals de complexe uitdagingen op het gebied van netwerkbeveiliging waarmee de Franse publieke sector wordt geconfronteerd in het proces van digitale transformatie. Het stelt ook hogere eisen aan accountbeveiligingsbeheer, toegangscontrole en data-encryptiestrategieën voor het interne communicatieplatform van de overheid.