Il messaggero sovrano della Francia Tchap colpito da una violazione dell'account

      La Francia ha costruito il proprio messenger criptato affinché i funzionari pubblici non dovessero fidarsi di WhatsApp o Telegram. Ora quel messenger è stato compromesso, e il governo e l'attaccante non riescono a concordare su quanto sia stato rubato.

      L'Agenzia Nazionale per la Cybersecurity della Francia, ANSSI, ha rilevato una compromissione di Tchap il 7 giugno, e la Direzione degli Affari Digitali (DINUM), che gestisce la piattaforma, ha pubblicato un avviso di incidente e ha provveduto a bloccare l'account coinvolto. Fondamentalmente, non si è trattato di una violazione della crittografia o dell'infrastruttura.

      I funzionari affermano che l'attaccante è entrato dirottando un account utente legittimo, una compromissione delle credenziali piuttosto che del sistema stesso.

      Il racconto del governo sui danni è ristretto. Tchap, che è costruito sul protocollo aperto Matrix, gestisce sia conversazioni pubbliche che private, e quelle private sono criptate end-to-end. DINUM afferma che anche quando un account viene impersonato, la cronologia di quelle conversazioni private criptate rimane inaccessibile, e che solo le chat room pubbliche non criptate, che qualsiasi utente autenticato può trovare e unirsi, potrebbero essere state visualizzate.

      Il 💜 della tecnologia UE

      Le ultime novità dalla scena tecnologica dell'UE, una storia dal nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora!

      Gli investigatori stanno ancora esaminando i log per stabilire esattamente quali conversazioni siano state raggiunte e se siano stati rubati dati. DINUM ha notificato il regolatore della protezione dei dati CNIL, poiché informazioni personali potrebbero essere state esposte nel contenuto che l'attaccante poteva vedere, e ha ricordato agli utenti che le stanze pubbliche non sono il posto per materiale sensibile.

      L'attaccante racconta una storia molto più grande. Un attore della minaccia con il nome ‘Misère’ afferma di aver avuto accesso a dati legati a circa 73.000 agenti statali, 643.000 messaggi, quasi 60.000 file per un totale di circa 13,5 gigabyte, centinaia di chat room e circa 90 elementi che fanno riferimento a ‘Diffusion Restreinte’, un marchio francese di distribuzione riservata, che va da giugno 2023 a giugno 2026.

      L'attaccante afferma che l'accesso è avvenuto tramite ingegneria sociale su un account nell'ambiente educativo di Tchap, e che una funzione di ricerca nel directory ha consentito l'enumerazione degli utenti attraverso il servizio.

      Quei numeri, riportati da canali di intelligence del dark web e ripetuti da fonti di sicurezza francesi, non sono stati verificati da ANSSI o DINUM, le cui dichiarazioni non menzionano documenti riservati, esposizione della directory o alcuno dei volumi citati.

      Diversi analisti di sicurezza informatica francesi hanno esplicitamente escluso i numeri dai loro tracker di violazione per mancanza di conferma indipendente. Rimangono una rivendicazione dell'attaccante, non un fatto accertato.

      C'è una sfumatura tecnica che complica la rassicurazione del governo.

      La crittografia end-to-end protegge i messaggi in transito e a riposo, quindi il server non può consegnare vecchie chat private. Ma i ricercatori di sicurezza notano che dirottare completamente il client di qualcuno che è loggato è diverso: un attaccante che agisce come quell'utente può, in linea di principio, vedere tutto ciò che l'account vede in quel momento, comprese le stanze private che apre. La crittografia tiene; l'impersonificazione è la falla.

      Ciò che rende questa situazione così grave è ciò che Tchap rappresenta. DINUM e ANSSI l'hanno costruito come un'alternativa gestita dallo stato, ospitata in Francia, a WhatsApp, Telegram e Slack, lanciata nel 2019 proprio affinché le comunicazioni governative non rimanessero su servizi controllati da stranieri.

      Dal 2025 è stato spinto attraverso i ministeri a centinaia di migliaia di agenti pubblici, e si inserisce nel mezzo di un'iniziativa francese più ampia per l'indipendenza tecnologica che ha visto Parigi ordinare ai ministeri di abbandonare Windows e passare a Linux e l'Europa più in generale trattare la sua dipendenza dalla tecnologia straniera come un rischio politico.

      Il divario tra ‘alcune stanze pubbliche’ e ‘73.000 account e riferimenti a documenti riservati’ sarà colmato dall'analisi dei log, non dai comunicati stampa. Per un servizio il cui intero obiettivo è che lo stato possa essere fidato per gestire le proprie comunicazioni sicure, anche una violazione contenuta è un colpo imbarazzante.

      Una forte rivendicazione di un hacker non verificata sopra di essa è esattamente il tipo di storia che i scettici della sovranità, e i rivali della Francia, saranno felici di amplificare.