Tchap 由法国政府数字事务总署与法国国家信息系统安全局(ANSSI)于 2018 年联合开发,基于去中心化的 Matrix 协议,定位为服务法国公共部门的即时通讯和协同办公工具,仅面向公务体系用户开放。 该应用自推出以来持续推广,目前在法国公共部门的月度活跃用户已超过 30 万,在 Google Play 商店的下载量也已突破 50 万次。 2025 年 8 月初,法国总理弗朗索瓦·巴鲁安(François Bayrou)更发布通告,要求全体公务人员在公务沟通中必须使用 Tchap,并禁止使用外国厂商通讯应用,从而显著扩大了该平台的使用范围和数据承载量。
DINUM 在周一发布的新闻通稿中披露,ANSSI 于周日首先检测到 Tchap 平台出现异常入侵行为,经初步调查确认,攻击者是通过一名用户被攻陷的账号进入系统,从而获得对该加密通讯平台的访问权限。 事件发生后,DINUM 已将此次安全事件上报给法国数据保护监管机构 CNIL,原因是部分用户在聊天中分享的个人数据可能已被攻击者访问或导出。 同时,DINUM 也向所有 Tchap 用户发出提醒,强调平台中的公开聊天室对任一注册用户均可开放访问,且此类公开房间中的内容并未启用加密保护。
DINUM 表示,已经锁定了此次恶意请求所来源的具体账号,并在发现问题后立即对其进行封禁,以切断攻击者的持续访问通道,为后续对其访问范围和潜在数据外泄情况开展深入分析创造条件。 当前调查仍在进行中,技术团队正在对事件日志进行细致比对,以确定攻击者具体访问了哪些会话,以及可能被外传的数据类型和范围。 官方同时再次重申,在 Tchap 的公开聊天室中,不应分享任何个人、敏感或机密信息,这类内容必须仅限在私密聊天室中进行交流,这是平台使用条款中的明确要求。
尽管 DINUM 尚未公开更多技术细节,但有攻击者在周末主动对外声称对本次事件负责,并公布了一部分据称从 Tchap 中窃取的文件样本,称其是在实施社会工程攻击之后获得了对该平台的访问权。 该名攻击者宣称,他们“通过社会工程方式拿到了教育分片(matrix.agent.education.tchap.gouv.fr)中一个有效账号的访问权限”,并强调所曝光的数据只是该单一账号可以访问的内容,其他分片中还可能存在更多数据。
据其自述,此次攻击中,他们获取了疑似硬编码在脚本中的 LDAP 凭证,这些凭证据称来自一名法国税务部门地区负责人分享的 PowerShell 脚本。 此外,攻击者声称从 Tchap 平台中导出了超过 13.5GB 的文档与媒体文件,这些数据均由法国公务人员在日常使用中上传和分享。 其进一步表示,他们几乎抓取了近 65 万条消息记录以及超过 7.3 万个账号的相关信息,其中包括用户电子邮箱地址、所属机构信息、会议链接以及账号与设备的元数据等敏感要素。
在技术细节方面,攻击者还宣称,Tchap 的架构存在严重缺陷——平台中“任意分片上曾被分享过的所有文件,在无令牌的情况下均可被下载”。 按其说法,一旦获取到包含媒体 URL 的消息内容,就可以利用媒体 ID 在无需认证的情况下直接下载对应文件,而不受其所处分片的限制。 目前,DINUM 尚未就上述具体技术漏洞与数据规模做出正式确认,BleepingComputer 就此向 DINUM 发去询问,但截至发稿尚未收到回复。
值得注意的是,就在上个月,法国方面刚刚通报并逮捕了一名年仅 15 岁的青少年嫌疑人,该人被指控出售从法国国家安全证件机构 ANTS(负责签发与管理官方身份及登记证件的国家机构)窃取来的数据。 这起案件源于今年 4 月针对 ANTS 的一次网络攻击,之后攻击者在地下论坛上兜售被窃数据,引发社会广泛关注。 当前这起 Tchap 入侵事件,再次凸显法国公共部门在数字化转型进程中面临的复杂网络安全挑战,也对政府内部通讯平台的账号安全管理、访问控制以及数据加密策略提出了更高要求。