Anfang Juni hat die Interministerielle Digitaldirektion (Dinum) bestätigte offiziell, was das Dark Web bereits flüsterte: die Tchap-Anwendungdie Säule der sicheren Kommunikation für mehr als 400.000 Beamte, wurde kompromittiert.
Die National Information Systems Security Agency (Anssi) schlug Alarm, nachdem es verdächtige Aktivitäten entdeckt hatte. Die Diagnose ist schnell gestellt: Es handelt sich nicht um einen komplexen Fehler, sondern um den ältesten Trick der digitalen Welt, die Usurpation eines Benutzerkontos.
Private und verschlüsselte Gespräche wären geschützt, der Inhalt öffentlicher Räume wäre jedoch offengelegt worden.
Was ist wirklich mit Tchap-Messaging passiert?
Für den Angriff war es nicht erforderlich, komplexe Codewände zu durchbrechen. Dem Angreifer gelang es lediglich, die Kontrolle über ein bestehendes und legitimes Tchap-Konto zu übernehmen. Sobald er drinnen war, hatte er denselben Zugang wie der Agent, dessen Identität gestohlen worden war.
Dinum reagierte schnell, identifizierte und blockte sofort das kompromittierte Konto für „ Entfernen Sie den dauerhaften Zugriff von Angreifern „. Obwohl diese Methode klassisch ist, zeigt sie, dass eine Sicherheitskette nur so stark ist wie ihr schwächstes Glied. : der Mensch. Das ist das eigentliche Prinzip dieses Cyberangriffs.
Das Verfahren ist einfach, aber beeindruckend. Indem er vorgab, ein vertrauenswürdiger Benutzer zu sein, konnte der Hacker innerhalb des Systems navigieren und Daten herausfiltern, ohne die üblichen Warnungen auszulösen.
Die Ermittlungen laufen, um das Ausmaß der Taten genau zu ermitteln durch das usurpierte Konto durchgeführt. Dieser Fall erinnert uns daran, dass selbst die robustesten Systeme durch gezielte Angriffe umgangen werden können auf Benutzer, eine Technik, die für Hacker oft profitabler ist als ein direkter Angriff auf die Infrastruktur.
Wie groß ist das Datenleck?
Hier kollidieren zwei Erzählungen. Einerseits ist in der offiziellen Mitteilung von Dinum, die beruhigend sein soll, von einem „ Vorfall kontrolliert » und macht keine Angaben zur Anzahl der betroffenen Konten.
Auf der anderen Seite brisante Forderungen, die in geheimen Foren veröffentlicht und von der Fachseite weitergegeben werden GermanVerstöße. Die angebliche Beute ist gigantisch: mehr als 643.000 Nachrichtenan dem 73.000 Agenten beteiligt sind verteilt auf fast 976 Chatrooms.

Eine wahre Fundgrube an Informationen über die internen Abläufe der Verwaltung über einen Zeitraum von drei Jahren.
In der Behauptung sind außerdem 13,5 GB Daten aufgeführteinschließlich Identifikatoren, E-Mail-Adressen der Regierung, freigegebene Dokumente und Multimediadateien.
Dieses potenzielle Datenleck wirft eine kritische Frage auf: Hat der Staat die tatsächlichen Auswirkungen dieses Eingriffs unterschätzt oder versucht er lediglich, die Panik einzudämmen?
Wurden verschlüsselte private Gespräche offengelegt?
Dinum bringt einen wesentlichen Punkt auf den Punkt: die Ende-zu-Ende-Verschlüsselung Private Gespräche machen sie unzugänglich. Selbst wenn ein Angreifer die Daten abfängt, kann er sie theoretisch nicht lesen.
Dieser Schutz gilt jedoch nur für Daten während der Übertragung oder im Ruhezustand. Im Falle eines Kontodiebstahls stiehlt der Angreifer nicht die verschlüsselten Daten, er meldet sich als legitimer Benutzer an und sieht die Nachrichten im Klartext, genau wie er.
Bei den betreffenden Börsen handelte es sich daher hauptsächlich um öffentliche Ausstellungenvon Natur aus nicht verschlüsselt und für alle Mitglieder offen. Der Hacker konnte jedoch über das kompromittierte Konto die privaten Nachrichten lesen, auf die dieser Benutzer Zugriff hatte.
Die wahre Gefahr dieses Angriffs auf verschlüsselte Nachrichten Es geht also nicht um die Entschlüsselung von Kommunikation, sondern um den direkten Zugriff auf Informationen von innen.
Dinum bekräftigte außerdem eine Regel des gesunden Menschenverstandes: Auf öffentlichen Ausstellungen sollten keine sensiblen, persönlichen Informationen oder Informationen ausgetauscht werden, die unter das Berufsgeheimnis fallen.
Ist dies die erste Sicherheitswarnung für Tchap?
Dies ist leider keine Premiere. Tchaps Reise wird von Warnungen unterbrochen, die als Warnung hätten dienen sollen. Seit ihrer Einführung im Jahr 2019 hatte die Anwendung bereits Anzeichen von Fragilität gezeigt.
Ein Cybersicherheitsforscher hatte gezeigt, dass es möglich ist, sich zu registrieren und Lounges zu betreten, ohne über eine staatliche E-Mail-Adresse zu verfügen, und so die Hauptzutrittsbarriere zu umgehen. Der Fehler hängt mit einem Filterproblem zusammenwurde korrigiert.
Diese Geschichte wirft jedoch einen Schatten auf die Robustheit des Tools. Tchap wurde als souveräne und sichere Alternative zu amerikanischen Giganten wie WhatsApp oder Telegram präsentiert und sollte ein Symbol der Widerstandsfähigkeit sein.
Obwohl dieser Vorfall seiner Natur nach anders ist, schadet er erneut seinem Image und wirft die Frage nach der tatsächlichen Sicherheit der entwickelten digitalen Tools auf. vom Staat für seine eigenen kritischen Bedürfnisse. Die Wiederholung dieser Mängel könnte das Vertrauen der Beamten in ihr eigenes Tool untergraben.