Die Agentur für digitale Angelegenheiten der französischen Regierung (DINUM) hat kürzlich eine Sicherheitswarnung herausgegeben, in der es heißt, dass Hacker erfolgreich in die interne verschlüsselte Kommunikationsplattform Tchap der französischen Regierung eingedrungen sind, indem sie ein legitimes Benutzerkonto gekapert haben, was möglicherweise zu unbefugtem Zugriff auf die persönlichen Daten geführt hat, die von einigen Benutzern im Gespräch geteilt wurden.

Tchap wurde 2018 gemeinsam von der Agentur für digitale Angelegenheiten der französischen Regierung und der französischen Agentur für die Sicherheit von Informationssystemen (ANSSI) entwickelt. Es basiert auf dem dezentralen Matrix-Protokoll und ist als Instant-Messaging- und kollaboratives Office-Tool für den öffentlichen Sektor Frankreichs positioniert. Es steht nur Nutzern des öffentlichen Dienstes offen. Die App ist seit ihrer Einführung kontinuierlich gewachsen und hat mittlerweile mehr als 300.000 monatlich aktive Nutzer im französischen öffentlichen Sektor und wurde mehr als 500.000 Mal im Google Play Store heruntergeladen. Anfang August 2025 erließ der französische Premierminister François Bayrou eine Mitteilung, die alle Beamten dazu verpflichtete, Tchap in der offiziellen Kommunikation zu verwenden, und die Verwendung von Kommunikationsanwendungen ausländischer Hersteller untersagte, wodurch der Nutzungsumfang und die Datentragfähigkeit der Plattform erheblich erweitert wurden.

DINUM gab in einer am Montag veröffentlichten Pressemitteilung bekannt, dass ANSSI am Sonntag erstmals ungewöhnliches Einbruchsverhalten auf der Tchap-Plattform festgestellt habe. Nach vorläufigen Untersuchungen wurde bestätigt, dass der Angreifer über das kompromittierte Konto eines Benutzers in das System eingedrungen war und sich so Zugriff auf die verschlüsselte Kommunikationsplattform verschafft hatte. Nach dem Vorfall meldete DINUM den Sicherheitsvorfall der französischen Datenschutzbehörde CNIL, da die von einigen Benutzern im Chat geteilten persönlichen Daten möglicherweise von Angreifern abgerufen oder exportiert wurden. Gleichzeitig erinnerte DINUM auch alle Tchap-Benutzer daran, dass öffentliche Chatrooms auf der Plattform jedem registrierten Benutzer offen stehen und dass für die Inhalte in solchen öffentlichen Räumen kein Verschlüsselungsschutz aktiviert ist.

DINUM gab an, das spezifische Konto, von dem die böswillige Anfrage stammte, zu sperren und sofort nach Entdeckung des Problems zu sperren, um den kontinuierlichen Zugriffskanal des Angreifers abzuschneiden und Bedingungen für eine anschließende eingehende Analyse seines Zugriffsbereichs und möglicher Datenlecks zu schaffen. Die aktuelle Untersuchung ist noch nicht abgeschlossen und das technische Team führt einen detaillierten Abgleich der Ereignisprotokolle durch, um festzustellen, auf welche Sitzungen der Angreifer zugegriffen hat und welche Art und Umfang die möglicherweise übermittelten Daten haben. Beamte bekräftigten außerdem, dass in den öffentlichen Chatrooms von Tchap keine persönlichen, sensiblen oder vertraulichen Informationen weitergegeben werden sollten und dass solche Inhalte nur in privaten Chatrooms kommuniziert werden dürften, was eine klare Anforderung in den Nutzungsbedingungen der Plattform sei.

Obwohl DINUM keine weiteren technischen Details bekannt gegeben hat, ergriff ein Angreifer am Wochenende die Initiative, die Verantwortung für den Vorfall zu übernehmen und veröffentlichte eine Auswahl von Dateien, die angeblich von Tchap gestohlen wurden, und behauptete, er habe sich durch einen Social-Engineering-Angriff Zugriff auf die Plattform verschafft. Der Angreifer behauptete, dass er „durch Social Engineering Zugang zu einem gültigen Konto im Bildungs-Shard (matrix.agent.education.tchap.gouv.fr) erhalten habe“ und betonte, dass es sich bei den offengelegten Daten nur um den Inhalt handele, auf den dieses einzelne Konto zugreifen könne, und dass es möglicherweise mehr Daten in anderen Shards gebe.

Nach eigenen Angaben erlangten sie bei diesem Angriff LDAP-Zugangsdaten, die vermutlich im Skript fest codiert waren. Diese Anmeldeinformationen stammten angeblich aus einem PowerShell-Skript, das von einem Regionaldirektor der französischen Steuerbehörde geteilt wurde. Darüber hinaus gaben die Angreifer an, mehr als 13,5 GB an Dokumenten und Mediendateien von der Tchap-Plattform exportiert zu haben, die von französischen Beamten im täglichen Gebrauch hochgeladen und geteilt wurden. Weiter heißt es, dass sie fast 650.000 Nachrichtendatensätze und zugehörige Informationen von mehr als 73.000 Konten erfasst hätten, darunter sensible Elemente wie E-Mail-Adressen von Benutzern, Zugehörigkeitsinformationen, Besprechungslinks und Metadaten von Konten und Geräten.

In Bezug auf technische Details behaupteten die Angreifer auch, dass die Architektur von Tchap einen schwerwiegenden Fehler aufweist: „Alle Dateien, die auf einem beliebigen Shard der Plattform geteilt wurden, können ohne Token heruntergeladen werden.“ Sobald der Nachrichteninhalt mit der Medien-URL abgerufen wurde, kann demnach die Medien-ID verwendet werden, um die entsprechende Datei ohne Authentifizierung direkt herunterzuladen, ohne durch den Shard, in dem sie sich befindet, eingeschränkt zu werden. Derzeit hat DINUM die oben genannten spezifischen technischen Schwachstellen und den Datenumfang nicht offiziell bestätigt. BleepingComputer hat diesbezüglich eine Anfrage an DINUM gesendet, zum Zeitpunkt der Drucklegung jedoch keine Antwort erhalten.

Es ist erwähnenswert, dass Frankreich erst letzten Monat einen 15-jährigen Verdächtigen im Teenageralter benachrichtigt und festgenommen hat, dem vorgeworfen wird, gestohlene Daten der französischen Agentur für nationale Sicherheitsdokumente ANTS (die für die Ausstellung und Verwaltung offizieller Ausweis- und Registrierungsdokumente zuständige nationale Behörde) verkauft zu haben. Der Fall ging auf einen Cyberangriff auf ANTS im April dieses Jahres zurück, bei dem die Angreifer gestohlene Daten in Untergrundforen verkauften, was in der Gesellschaft große Besorgnis erregte. Der aktuelle Tchap-Einbruchsvorfall verdeutlicht einmal mehr die komplexen Herausforderungen im Bereich der Netzwerksicherheit, mit denen der französische öffentliche Sektor im Prozess der digitalen Transformation konfrontiert ist. Darüber hinaus werden höhere Anforderungen an die Kontosicherheitsverwaltung, Zugangskontrolle und Datenverschlüsselungsstrategien für die interne Kommunikationsplattform der Regierung gestellt.