A Agência de Assuntos Digitais do Governo Francês (DINUM) emitiu recentemente um comunicado de segurança afirmando que hackers invadiram com sucesso a plataforma interna de comunicação criptografada do governo francês, Tchap, sequestrando uma conta de usuário legítima, o que pode ter resultado no acesso não autorizado às informações pessoais compartilhadas por alguns usuários na conversa.

O Tchap foi desenvolvido em conjunto pela Agência de Assuntos Digitais do Governo Francês e pela Agência Nacional Francesa de Segurança de Sistemas de Informação (ANSSI) em 2018. Baseia-se no protocolo Matrix descentralizado e está posicionado como uma ferramenta de mensagens instantâneas e de escritório colaborativo servindo o setor público francês. Está aberto apenas a usuários do sistema de atendimento público. O aplicativo continuou a crescer desde o seu lançamento e agora tem mais de 300.000 usuários ativos mensais no setor público francês e foi baixado mais de 500.000 vezes na Google Play Store. No início de agosto de 2025, o primeiro-ministro francês, François Bayrou, emitiu um aviso exigindo que todos os funcionários públicos utilizassem o Tchap nas comunicações oficiais e proibiu a utilização de aplicações de comunicação de fabricantes estrangeiros, ampliando assim significativamente o âmbito de utilização e a capacidade de transporte de dados da plataforma.

A DINUM divulgou num comunicado de imprensa divulgado na segunda-feira que a ANSSI detectou pela primeira vez um comportamento anormal de intrusão na plataforma Tchap no domingo. Após investigação preliminar, foi confirmado que o invasor entrou no sistema através da conta comprometida de um usuário, obtendo assim acesso à plataforma de comunicação criptografada. Após o incidente, a DINUM relatou o incidente de segurança ao regulador francês de proteção de dados CNIL porque os dados pessoais partilhados por alguns utilizadores no chat podem ter sido acedidos ou exportados por atacantes. Ao mesmo tempo, a DINUM também emitiu um lembrete a todos os usuários do Tchap, enfatizando que as salas de chat públicas da plataforma estão abertas a qualquer usuário cadastrado e que o conteúdo dessas salas públicas não possui proteção de criptografia habilitada.

A DINUM afirmou que bloqueou a conta específica de origem do pedido malicioso e baniu-a imediatamente após a descoberta do problema para cortar o canal de acesso contínuo do atacante e criar condições para posterior análise aprofundada do seu âmbito de acesso e potencial fuga de dados. A investigação atual ainda está em andamento e a equipe técnica está conduzindo uma comparação detalhada dos logs de eventos para determinar quais sessões o invasor acessou, bem como o tipo e o escopo dos dados que podem ter sido transmitidos. As autoridades também reiteraram que nenhuma informação pessoal, sensível ou confidencial deve ser compartilhada nas salas de chat públicas do Tchap, e tal conteúdo deve ser comunicado apenas em salas de chat privadas, o que é um requisito claro nos termos de uso da plataforma.

Embora a DINUM não tenha divulgado mais detalhes técnicos, um invasor tomou a iniciativa de assumir a responsabilidade pelo incidente no fim de semana e publicou uma amostra de arquivos supostamente roubados do Tchap, alegando que obteve acesso à plataforma após realizar um ataque de engenharia social. O invasor alegou que “obteve acesso a uma conta válida no fragmento educacional (matrix.agent.education.tchap.gouv.fr) por meio de engenharia social” e enfatizou que os dados expostos eram apenas o conteúdo acessível a esta conta única, e pode haver mais dados em outros fragmentos.

De acordo com seu próprio relato, neste ataque, eles obtiveram credenciais LDAP que eram suspeitas de estarem codificadas no script. Essas credenciais eram supostamente de um script do PowerShell compartilhado por um diretor regional do departamento fiscal francês. Além disso, os atacantes alegaram ter exportado mais de 13,5 GB de documentos e ficheiros multimédia da plataforma Tchap, que foram carregados e partilhados por funcionários públicos franceses no seu uso diário. Afirmou ainda que capturaram quase 650.000 registros de mensagens e informações relacionadas de mais de 73.000 contas, incluindo elementos confidenciais, como endereços de e-mail de usuários, informações de afiliação, links de reuniões e metadados de contas e dispositivos.

Em termos de detalhes técnicos, os invasores também alegaram que a arquitetura do Tchap tem uma falha grave – “todos os arquivos que foram compartilhados em qualquer shard da plataforma podem ser baixados sem token”. Segundo ele, uma vez obtido o conteúdo da mensagem contendo a URL da mídia, o ID da mídia pode ser utilizado para baixar diretamente o arquivo correspondente sem autenticação, sem ser restringido pelo shard em que está localizado. Atualmente, a DINUM não confirmou oficialmente as vulnerabilidades técnicas específicas e a escala de dados acima mencionadas. BleepingComputer enviou uma consulta à DINUM sobre isso, mas não recebeu resposta até o momento.

É importante notar que, no mês passado, a França notificou e prendeu um adolescente suspeito de 15 anos, que foi acusado de vender dados roubados da agência francesa de documentos de segurança nacional ANTS (a agência nacional responsável pela emissão e gestão de documentos oficiais de identidade e registo). O caso resultou de um ataque cibernético à ANTS em abril deste ano, após o qual os atacantes venderam dados roubados em fóruns clandestinos, o que despertou preocupação generalizada na sociedade. O actual incidente de intrusão do Tchap destaca mais uma vez os complexos desafios de segurança de rede enfrentados pelo sector público francês no processo de transformação digital. Também impõe requisitos mais elevados à gestão da segurança das contas, ao controlo de acesso e às estratégias de encriptação de dados para a plataforma de comunicação interna do governo.