أصدرت وكالة الشؤون الرقمية الحكومية الفرنسية (DINUM) مؤخرًا تحذيرًا أمنيًا يفيد بأن المتسللين نجحوا في غزو منصة الاتصالات المشفرة الداخلية للحكومة الفرنسية Tchap عن طريق الاستيلاء على حساب مستخدم شرعي، مما قد يؤدي إلى وصول غير مصرح به إلى المعلومات الشخصية التي شاركها بعض المستخدمين في المحادثة.
تم تطوير Tchap بشكل مشترك من قبل وكالة الشؤون الرقمية الحكومية الفرنسية والوكالة الوطنية الفرنسية لأمن نظم المعلومات (ANSSI) في عام 2018. وهو يعتمد على بروتوكول Matrix اللامركزي ويتم وضعه كأداة للمراسلة الفورية والمكتبية التعاونية التي تخدم القطاع العام الفرنسي. إنه مفتوح فقط للمستخدمين في نظام الخدمة العامة. استمر التطبيق في النمو منذ إطلاقه ويضم الآن أكثر من 300000 مستخدم نشط شهريًا في القطاع العام الفرنسي وتم تنزيله أكثر من 500000 مرة على متجر Google Play. في أوائل أغسطس 2025، أصدر رئيس الوزراء الفرنسي فرانسوا بايرو إشعارًا يطلب من جميع الموظفين العموميين استخدام Tchap في الاتصالات الرسمية وحظر استخدام تطبيقات الاتصالات من الشركات المصنعة الأجنبية، وبالتالي توسيع نطاق الاستخدام والقدرة على حمل البيانات للمنصة بشكل كبير.
كشفت DINUM في بيان صحفي صدر يوم الاثنين أن ANSSI اكتشفت لأول مرة سلوك اقتحام غير طبيعي على منصة Tchap يوم الأحد. وبعد التحقيق الأولي، تم التأكد من أن المهاجم دخل النظام من خلال حساب المستخدم المخترق، وبالتالي تمكن من الوصول إلى منصة الاتصالات المشفرة. بعد الحادث، أبلغت DINUM الهيئة التنظيمية الفرنسية لحماية البيانات CNIL بالحادث الأمني، لأن البيانات الشخصية التي شاركها بعض المستخدمين في الدردشة ربما تم الوصول إليها أو تصديرها من قبل المهاجمين. وفي الوقت نفسه، أصدرت DINUM أيضًا تذكيرًا لجميع مستخدمي Tchap، مؤكدة على أن غرف الدردشة العامة على المنصة مفتوحة لأي مستخدم مسجل، وأن المحتوى الموجود في هذه الغرف العامة لا يشتمل على تمكين حماية التشفير.
ذكرت DINUM أنها أغلقت الحساب المحدد الذي نشأ منه الطلب الضار وحظرته فور اكتشاف المشكلة لقطع قناة الوصول المستمر للمهاجم وتهيئة الظروف للتحليل المتعمق اللاحق لنطاق الوصول الخاص به وتسرب البيانات المحتمل. لا يزال التحقيق الحالي مستمرًا، ويقوم الفريق الفني بإجراء مقارنة تفصيلية لسجلات الأحداث لتحديد الجلسات التي وصل إليها المهاجم، بالإضافة إلى نوع ونطاق البيانات التي ربما تم إرسالها. وأكد المسؤولون أيضًا أنه لا ينبغي مشاركة أي معلومات شخصية أو حساسة أو سرية في غرف الدردشة العامة في Tchap، ويجب توصيل هذا المحتوى فقط في غرف الدردشة الخاصة، وهو مطلب واضح في شروط استخدام المنصة.
على الرغم من أن DINUM لم يكشف عن المزيد من التفاصيل الفنية، إلا أن أحد المهاجمين أخذ زمام المبادرة لإعلان مسؤوليته عن الحادث خلال عطلة نهاية الأسبوع ونشر عينة من الملفات التي يُزعم أنها سُرقت من Tchap، مدعيًا أنه تمكن من الوصول إلى المنصة بعد إجراء هجوم الهندسة الاجتماعية. ادعى المهاجم أنهم "حصلوا على إمكانية الوصول إلى حساب صالح في الجزء التعليمي (matrix.agent.education.tchap.gouv.fr) من خلال الهندسة الاجتماعية" وشدد على أن البيانات المكشوفة كانت فقط المحتوى الذي يمكن الوصول إليه من خلال هذا الحساب الفردي، وقد يكون هناك المزيد من البيانات في الأجزاء الأخرى.
وفقًا لحساباتهم الخاصة، فقد حصلوا في هذا الهجوم على بيانات اعتماد LDAP التي يشتبه في أنها مشفرة في البرنامج النصي. يُزعم أن بيانات الاعتماد هذه مأخوذة من برنامج PowerShell النصي الذي شاركه المدير الإقليمي لإدارة الضرائب الفرنسية. بالإضافة إلى ذلك، ادعى المهاجمون أنهم قاموا بتصدير أكثر من 13.5 جيجابايت من المستندات وملفات الوسائط من منصة Tchap، والتي تم تحميلها ومشاركتها من قبل المسؤولين العموميين الفرنسيين في استخدامهم اليومي. وذكر أيضًا أنهم استولوا على ما يقرب من 650 ألف سجل للرسائل والمعلومات ذات الصلة لأكثر من 73 ألف حساب، بما في ذلك العناصر الحساسة مثل عناوين البريد الإلكتروني للمستخدمين ومعلومات الانتماء وروابط الاجتماعات والبيانات الوصفية للحسابات والأجهزة.
وفيما يتعلق بالتفاصيل الفنية، ادعى المهاجمون أيضًا أن بنية Tchap بها عيب خطير - "يمكن تنزيل جميع الملفات التي تمت مشاركتها على أي جزء في النظام الأساسي بدون رمز مميز". ووفقًا لذلك، بمجرد الحصول على محتوى الرسالة الذي يحتوي على عنوان URL للوسائط، يمكن استخدام معرف الوسائط لتنزيل الملف المقابل مباشرة دون مصادقة، دون التقيد بالجزء الذي يوجد فيه. في الوقت الحاضر، لم تؤكد DINUM رسميًا نقاط الضعف التقنية المحددة وحجم البيانات المذكورة أعلاه. أرسلت BleepingComputer استفسارًا إلى DINUM حول هذا الأمر، لكنها لم تتلق ردًا حتى وقت النشر.
تجدر الإشارة إلى أنه في الشهر الماضي فقط، أخطرت فرنسا واعتقلت مراهقًا مشتبهًا به يبلغ من العمر 15 عامًا، متهمًا ببيع بيانات مسروقة من وكالة وثائق الأمن القومي الفرنسية ANTS (الوكالة الوطنية المسؤولة عن إصدار وإدارة وثائق الهوية والتسجيل الرسمية). ترجع القضية إلى هجوم إلكتروني على ANTS في أبريل من هذا العام، وبعد ذلك باع المهاجمون بيانات مسروقة في منتديات سرية، مما أثار قلقًا واسع النطاق في المجتمع. تسلط حادثة اختراق Tchap الحالية الضوء مرة أخرى على التحديات المعقدة لأمن الشبكات التي يواجهها القطاع العام الفرنسي في عملية التحول الرقمي. كما أنه يفرض متطلبات أعلى على إدارة أمان الحساب والتحكم في الوصول واستراتيجيات تشفير البيانات لمنصة الاتصالات الداخلية للحكومة.