Layanan pesan pemerintah Prancis dibobol dalam serangan pembajakan akun

DINUM, direktorat urusan digital pemerintah Perancis, memperingatkan bahwa peretas menggunakan akun pengguna yang dibajak untuk membobol Tchap, platform pesan terenkripsi milik pemerintah Perancis.

Dikembangkan sendiri oleh DINUM bekerja sama dengan ANSSI (Badan Keamanan Siber Prancis) pada tahun 2018, Tchap adalah layanan pesan instan dan alat kolaborasi berdasarkan protokol Matrix terdesentralisasi, yang dirancang khusus untuk sektor publik Prancis.

Tchap kini telah menjangkau lebih dari 300.000 pengguna bulanan dan lebih dari 500.000 unduhan di Google Play Store setelah Perdana Menteri François Bayrou mengamanatkan penggunaan Tchap dan melarang aplikasi asing untuk komunikasi kerja bagi seluruh pegawai negeri sipil pada awal Agustus 2025.

DINUM mengungkapkan pada hari Senin bahwa ANSSI mendeteksi pelanggaran Tchap pada hari Minggu dan mengatakan bahwa pelaku ancaman memperoleh akses ke platform pesan instan aman menggunakan akun pengguna yang disusupi.

Direktorat urusan digital Perancis juga telah memperingatkan otoritas perlindungan data Perancis, CNIL, mengenai insiden tersebut karena potensi paparan data pribadi yang dibagikan oleh beberapa pengguna dalam percakapan yang dapat diakses oleh penyerang, dan telah memperingatkan semua pengguna Tchap, mengingatkan mereka bahwa ruang obrolan publik dapat diakses oleh pengguna mana pun dan tidak dienkripsi.

“Pada tahap ini, akun yang berasal dari permintaan jahat telah diidentifikasi. Akun tersebut segera diblokir untuk menghapus akses terus-menerus penyerang dan memungkinkan analisis menyeluruh terhadap data yang dapat mereka akses. Investigasi berlanjut, termasuk studi log peristiwa, untuk mengidentifikasi percakapan yang dapat diakses penyerang dan sifat data yang dieksfiltrasi,” kata Dinum dalam siaran pers hari Senin.

“Sebuah pesan telah dikirim ke semua pengguna Tchap untuk mengingatkan mereka bahwa ruang obrolan publik dapat ditemukan dan diikuti oleh pengguna mana pun dan bahwa kontennya tidak dienkripsi. Sesuai dengan persyaratan layanan Tchap, tidak ada informasi pribadi, sensitif, atau rahasia yang boleh dipertukarkan di ruang obrolan publik: pertukaran seperti itu harus disediakan untuk ruang obrolan pribadi.”

Meskipun DINUM belum membagikan rincian lebih lanjut mengenai pelanggaran ini, pelaku ancaman mengaku bertanggung jawab atas insiden tersebut pada akhir pekan, membagikan sampel file yang dicuri, dan mengatakan bahwa mereka memperoleh akses ke platform tersebut setelah serangan rekayasa sosial.

​”Saya merekayasa sosial akun yang valid pada pecahan pendidikan (matrix.agent.education.tchap.gouv.fr). Segala sesuatu di bawah ini adalah apa yang dapat dijangkau oleh satu akun, pecahan lain akan memiliki lebih banyak,” kata mereka.

​Mereka mengklaim telah mencuri kredensial LDAP berkode keras yang diduga dibocorkan melalui skrip PowerShell yang dibagikan oleh direktur regional otoritas pajak Prancis dan lebih dari 13,5 GB dokumen dan file media yang dibagikan oleh pegawai negeri menggunakan layanan Tchap.

Pelaku ancaman juga diduga menghapus hampir 650.000 pesan dan informasi di lebih dari 73.000 akun, termasuk alamat email, informasi organisasi, tautan rapat, serta metadata akun dan perangkat.

“Setiap file yang pernah dibagikan di Tchap, di shard apa pun, dapat diunduh tanpa token,” tambah mereka. “ID media berasal dari pesan. Setelah Anda memiliki pesan dengan URL media, Anda dapat menarik file tersebut dengan bebas terlepas dari pecahan mana yang menampungnya.”

BleepingComputer menghubungi DINUM untuk mengajukan pertanyaan tentang insiden tersebut, namun tanggapan tidak segera tersedia.

Bulan lalu, otoritas Perancis menahan seorang anak berusia 15 tahun diduga menjual data yang dicuri di sebuah serangan siber pada bulan April pada ANTS (Agence nationale des titres sécurisés), badan negara yang menerbitkan dan mengelola dokumen identitas dan pendaftaran resmi.