Французский суверенный мессенджер Tchap подвергся утечке аккаунтов

      Франция создала собственный зашифрованный мессенджер, чтобы государственные служащие не доверяли WhatsApp или Telegram. Теперь этот мессенджер был взломан, и правительство с нападающим не могут согласовать, сколько данных было украдено.

      Национальная кибербезопасности Франции, ANSSI, обнаружила компрометацию Tchap 7 июня, а Дирекция цифровых дел (DINUM), которая управляет платформой, опубликовала уведомление о происшествии и приняла меры по блокировке вовлеченной учетной записи. Ключевым моментом является то, что это не было взломом шифрования или инфраструктуры.

      Официальные лица утверждают, что нападающий получил доступ, захватив учетную запись законного пользователя, что является компрометацией учетных данных, а не самой системы.

      Расчет правительства о ущербе узок. Tchap, который построен на открытом протоколе Matrix, содержит как публичные, так и частные разговоры, и частные из них зашифрованы от конца до конца. DINUM утверждает, что даже когда учетная запись подделывается, история этих частных зашифрованных разговоров остается недоступной, и только незашифрованные публичные чаты, которые может найти и присоединиться любой аутентифицированный пользователь, могли быть просмотрены.

      💜 технологий ЕС Последние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и несколько сомнительных произведений ИИ. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!

      Следователи все еще работают с журналами, чтобы установить, какие именно разговоры были достигнуты и были ли украдены какие-либо данные. DINUM уведомила регулятора по защите данных CNIL, поскольку личная информация могла быть раскрыта в контенте, который мог видеть нападающий, и напомнила пользователям, что публичные комнаты не являются местом для чувствительных материалов.

      Нападающий рассказывает гораздо более крупную историю. Угрожающий актор с псевдонимом «Misère» утверждает, что получил доступ к данным, связанным примерно с 73,000 государственными служащими, 643,000 сообщениям, почти 60,000 файлов, общим объемом около 13.5 гигабайт, сотням чат-комнат и около 90 предметам, упоминающим «Diffusion Restreinte», французскую маркировку ограниченного распространения, охватывающую период с июня 2023 года по июнь 2026 года.

      Нападающий утверждает, что доступ был получен через социальную инженерию учетной записи в образовательной среде Tchap, и что функция поиска в каталоге позволила перечислить пользователей по сервису.

      Эти цифры, переданные каналами разведки темной сети и повторенные французскими средствами безопасности, не были проверены ANSSI или DINUM, чьи заявления не упоминают о ограниченных документах, раскрытии каталога или любых упомянутых объемах.

      Несколько французских аналитиков в области информационной безопасности явно исключили эти цифры из своих трекеров утечек из-за отсутствия независимого подтверждения. Они остаются заявлением нападающего, а не установленным фактом.

      Существует техническая нюанс, который усложняет уверенность правительства.

      Шифрование от конца до конца защищает сообщения в пути и в состоянии покоя, поэтому сервер не может передать старые частные чаты. Но исследователи безопасности отмечают, что полное захватывание вошедшего в систему клиента отличается: нападающий, действующий как этот пользователь, может, в принципе, видеть все, что видит учетная запись в данный момент, включая открытые частные комнаты. Шифрование сохраняется; подделка является уязвимостью.

      Что делает этот инцидент особенно болезненным, так это то, что представляет собой Tchap. DINUM и ANSSI создали его как государственный, французский альтернативный мессенджер для WhatsApp, Telegram и Slack, запущенный в 2019 году именно для того, чтобы правительственные коммуникации не находились на контролируемых иностранцами сервисах.

      С 2025 года он был внедрен в министерства для сотен тысяч государственных служащих и оказался в центре более широкой французской инициативы по технологической независимости, которая заставила Париж вывести министерства с Windows на Linux, а Европу в целом рассматривать свою зависимость от иностранной технологии как политический риск.

      Разрыв между «несколькими публичными комнатами» и «73,000 учетными записями и ссылками на ограниченные документы» будет закрыт анализом журналов, а не пресс-релизами. Для сервиса, вся концепция которого заключается в том, что государство может быть доверено управлять своими собственными безопасными коммуникациями, даже ограниченная утечка является неловким ударом.

      Громкое, неподтвержденное заявление хакера сверху — это именно тот вид истории, который скептики суверенитета и соперники Франции будут рады усилить.