Een cyberaanval gericht op Tchap, het veilige berichtenplatform van de Franse overheid, heeft meer dan 73.000 gebruikersaccounts gecompromitteerd nadat aanvallers zwakke plekken in het authenticatiesysteem van de app hadden uitgebuit.
De Franse autoriteiten bevestigden dat 73.119 accounts werden getroffen door het incident, dat op 31 mei werd ontdekt. De inbreuk was gericht op het accountherstelproces van het platform, waardoor aanvallers gebruikersaccounts konden kapen zonder hun wachtwoorden nodig te hebben. De gecompromitteerde accounts vertegenwoordigden ongeveer 15% van het totale gebruikersbestand van het platform.
Tchap wordt veel gebruikt door Franse overheidsmedewerkers, overheidsfunctionarissen en overheidsinstellingen voor interne communicatie. De dienst werd in 2019 gelanceerd als een veilig alternatief voor commerciële berichtenapplicaties en wordt beheerd door de Interministeriële Digitale Directie (DINUM) van de Franse overheid.
Volgens onderzoekers maakten de aanvallers gebruik van een fout in het wachtwoordherstelmechanisme. Door misbruik te maken van het account reset proces konden ze ongeautoriseerde toegang krijgen tot gebruikersaccounts en de controle erover nemen. De autoriteiten zeiden dat er geen bewijs is dat de aanvallers de kerninfrastructuur of encryptiesystemen van Tchap hebben binnengedrongen.
Het onderzoek wees uit dat gecompromitteerde accounts voornamelijk toebehoorden aan overheidsmedewerkers en ambtenaren. Franse functionarissen verklaarden dat, hoewel accounts zijn gekaapt, er momenteel geen aanwijzingen zijn dat er tijdens het incident geheime informatie of staatsgeheimen zijn benaderd.
Na de ontdekking van de aanval schakelden de autoriteiten onmiddellijk de kwetsbare herstelfunctie uit en dwongen ze wachtwoordresets voor getroffen gebruikers. Er werden ook extra beveiligingsmaatregelen ingevoerd om soortgelijke aanvallen in de toekomst te voorkomen.
Het lek heeft de zorgen over de veiligheid van overheidscommunicatieplatforms nieuw leven ingeblazen, met name die welke door overheidsfunctionarissen en overheidsinstanties worden gebruikt. Hoewel Tchap is ontworpen als een veilige berichtendienst, benadrukt het incident hoe zwaktes in authenticatie- en accountbeheersystemen anders veilige platforms kunnen ondermijnen.
De Franse cybersecurityautoriteiten blijven de aanval onderzoeken en hebben deze niet publiekelijk toegeschreven aan een specifieke dreigingsactor. Functionarissen zeiden dat getroffen gebruikers op de hoogte zijn gebracht en worden geadviseerd om hun accountactiviteiten te controleren en hun beveiligingsinstellingen bij te werken.
Het incident volgt op een groeiend aantal aanvallen gericht op overheidscommunicatiemiddelen en identiteitssystemen wereldwijd, aangezien cybercriminelen zich steeds meer richten op technieken voor accountovername in plaats van directe aanvallen op versleutelde infrastructuur.