Hackers comprometeram o Tchap, plataforma de mensagens cifrada do governo francês usada por mais de 300 mil servidores públicos. A ANSSI detectou a intrusão em 8 de junho de 2026. Um atacante usou engenharia social para sequestrar uma conta e acessar ao menos 643 mil mensagens e dados de 73 mil agentes do Estado.
Como o ataque aconteceu
O atacante realizou um ataque de engenharia social contra um usuário legítimo do “shard” (instância) da educação no Tchap — especificamente o domínio matrix.agent.education.tchap.gouv.fr. Ao obter credenciais de acesso, o invasor conseguiu navegar pela plataforma e extrair grandes volumes de dados.
A partir dessa única conta comprometida, o atacante afirma ter capturado 13,5 GB de documentos e arquivos de mídia, raspado aproximadamente 643 mil mensagens e coletado informações de mais de 73 mil contas, incluindo endereços de e-mail, metadados de dispositivos, links de reuniões e dados organizacionais.
Segundo o atacante, arquivos compartilhados em qualquer shard do Tchap podiam ser baixados sem token de autenticação, bastando conhecer o ID da mídia presente nas mensagens — uma falha de controle de acesso na arquitetura do protocolo Matrix.
O que é o Tchap
Desenvolvido em 2018 pela DINUM (Direção Interministerial do Digital) em parceria com a ANSSI (Agência Nacional de Segurança da França), o Tchap é um mensageiro instantâneo baseado no protocolo descentralizado Matrix. A plataforma é de uso obrigatório para comunicações de trabalho de todos os servidores públicos franceses desde agosto de 2025, quando o primeiro-ministro François Bayrou proibiu aplicativos estrangeiros para comunicação governamental.
O Tchap atingiu mais de 300 mil usuários mensais ativos e 500 mil downloads na Google Play Store. A plataforma divide seus usuários em “shards” por setor — educação, impostos, defesa — mas a separação não impediu que o atacante acessasse dados de múltiplos domínios.
Cronologia do vazamento
- Antes de 8 de junho — Atacante realiza engenharia social e sequestra conta do shard de educação
- 7 de junho de 2026 — ANSSI detecta atividade maliciosa no Tchap
- 8 de junho — DINUM confirma o breach e bloqueia a conta comprometida; CNIL é notificada
- 8 de junho — Atacante publica amostra dos dados roubados e reivindica o ataque
- 9 de junho — DINUM envia comunicado a todos os usuários alertando sobre salas públicas não cifradas
Impacto e falhas expostas
A DINUM confirmou que a conta de origem foi identificada e bloqueada. A investigação analisa logs de eventos para determinar quais conversas foram acessadas e quais dados foram exfiltrados. A autoridade de proteção de dados francesa (CNIL) foi formalmente notificada.
O episódio expõe vulnerabilidades estruturais no design do Tchap: salas de chat públicas são acessíveis a qualquer usuário e não possuem criptografia ponta-a-ponta. A DINUM lembrou que informações sensíveis devem ser trocadas apenas em salas privadas — mas a orientação depende do comportamento dos usuários. Esse padrão de vazamento por conta comprometida se repete em ataques recentes contra organizações governamentais.
O atacante também afirma ter encontrado credenciais LDAP embutidas em um script PowerShell compartilhado por um diretor regional da autoridade tributária francesa — um erro que poderia ter permitido acesso ainda mais amplo a diretórios corporativos do governo.
Medidas de proteção
Organizações que usam plataformas baseadas no protocolo Matrix devem auditar permissões de acesso a mídia e tokens de autenticação. Contas com privilégios em instâncias federadas exigem autenticação multifator obrigatória. Equipes de segurança devem monitorar acessos anômalos a salas públicas e implementar alertas para grandes volumes de raspagem de mensagens. Servidores públicos devem evitar compartilhar credenciais ou scripts sensíveis em canais não cifrados, mesmo em plataformas consideradas seguras.