Nieuws
image

Franse overheid meldt veiligheidsincident met zelfontwikkelde chatapp

dinsdag 9 juni 2026, 13:54 door Redactie, 5 reacties

De Franse overheid heeft een veiligheidsincident met de zelfontwikkelde chatapp Tchap gemeld, nadat een aanvaller toegang tot het account van een gebruiker wist te krijgen. Het Franse cyberagentschap ANSSI spreekt van een compromittering van de chatdienst, maar stelt dat privéberichten van gebruikers veilig zijn. Een aanvaller beweert op internet dat hij ruim 643.000 berichten en gegevens van 73.000 accounts in handen heeft, alsmede de chatgeschiedenis van 876 chatrooms en zo'n 60.000 uitgewisselde mediabestanden. De datadiefstal is niet door de autoriteiten bevestigd.

Via Tchap kunnen Franse ambtenaren met elkaar communiceren. Het is een fork van de beveiligde chatapp Riot en alleen te gebruiken door mensen met een .gouv of soortgelijk e-mailadres. De aanvaller beweert dat hij door middel van social engineering toegang wist te krijgen tot een Tchap-account gekoppeld aan de onderwijsomgeving van de chatapp. ANSSI meldt dat het onderzoek naar de gebruikte aanvalsmethode nog gaande is, alsmede tot welke data de aanvaller allemaal toegang had.

Het Franse cyberagentschap stelt dat openbare gesprekken gevoerd via Tchap voor alle gebruikers toegankelijk zijn en ook niet worden versleuteld. Om gebruikers hierop te wijzen is er een bericht naar alle Tchap-gebruikers gestuurd met de boodschap dat een publieke chatroom door alle Tchap-gebuikers is te vinden en dat die hieraan kunnen deelnemen, alsmede dat de inhoud van deze chats niet versleuteld is.

De aanvaller heeft mogelijk ook toegang tot persoonlijke data gekregen die werd gedeeld door gebruikers in gesprekken met het account dat door de aanvaller werd gehackt. De Franse privacytoezichthouder CNIL is dan ook ingelicht.

Reacties (5)
Reageer met quote
Vandaag, 14:28 door Anoniem
Tja, ze vertrouwden Signal niet, lol.
Overheden hebben de neiging om de Signal app zwart te maken in de media nadat ze het zelf hebben verkwanselt door onbekenden uit te nodigen in hun groepchats.
Reageer met quote
Vandaag, 14:31 door Anoniem
En hoe voelt dat nou, dat mensen met je berichten meelezen? Best kut toch, zo denken de burgers er ook over met je smerige Chat Control
Reageer met quote
Vandaag, 14:49 door Anoniem
Hahahhahah, vertaald naar Frans: hahahhahaa
Reageer met quote
Vandaag, 15:54 door Anoniem
Door Anoniem: Tja, ze vertrouwden Signal niet, lol.

En terecht. Signal is precies zo kwetsbaar voor dit probleem - en voor meer problemen.


Overheden hebben de neiging om de Signal app zwart te maken in de media nadat ze het zelf hebben verkwanselt door onbekenden uit te nodigen in hun groepchats.

Fanboys moeten eens stoppen met hun app heilig verklaren als daar eens wat terechte risico punten van genoemd worden.

En _ook_ "fouten die gebruikers te makkelijk kunnen maken" zijn een risico .
Die wannabe texpert nerds die "alleen een technische hack telt" moeten eens leren dat het gaat om het resultaat , en niet om het kunnen afschuiven naar "gebruikersfout maar mijn mooie app is niet de schuld" .

_daarom_ is standaard WhatsApp of standaard Signal of standaard Molly een risico .
En alleen maar roepen "maar het het open source en het is encrypted en "mensen moeten gewoon maar opletten dat ze niemand erbij koppelen en geen ander device authoriseren" laat precies zien wie er ongeschikt is voor een professionele security functie.

Als je werkt met een erg grote populatie gebruikers _is_ het een probleem wanneer die per ongeluk of per social engineering "de verkeerde" aan een chat of app groep kunnen toevoegen, en die overheids-chat apps zijn dan (dus) gewoon een fork met een eigen infrastructuuur waar alleen ambtenaren (oid) een account op kunnen creeeren.

Nog niet perfect - zoals hier blijkbaar - , maar dan kunnen ze tenminste geen buitenstaanders of journalisten per ongeluk in de chatgroep gooien .
Reageer met quote
Vandaag, 16:23 door Anoniem
"60.000 uitgewisselde mediabestanden" zitten toch vast wel een paar 'hele speciale kopietjes' gemaakt met behulp van het kopieerapparaat tussen?
Laat maar komen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Advertentie
Certified Secure GenAI Deep Dive Security Training