Tchap, mensageria soberana do governo francês, é violada por ator desconhecido — 73 mil contas expostas
Plataforma de mensagens do governo francês baseada em Matrix é comprometida. DINUM confirma 73 mil contas afetadas; ator misere reivindica 13,5 GB e 643 mil mensagens.
O Tchap, plataforma de mensageria soberana criada pelo governo francês para uso de seus 800 mil funcionários públicos, foi violado por um ator de ameaça desconhecido que se autodenomina “misere”. A DINUM — agência interministerial digital — admite o vazamento de dados de 73 mil contas (menos de 9% do total), mas o misere reivindica ter extraído 13,5 GB de arquivos e 643 mil mensagens, expondo a fragilidade até de plataformas projetadas como alternativa sob o conceito de soberania digital.
O que aconteceu
Em 8 de junho de 2026, a DINUM, diretoria interministerial digital da França e operadora do Tchap, comunicou publicamente a invasão do serviço, ocorrida no dia anterior. Quase em paralelo, surgiu nas margens do underground a reivindicação de um ator desconhecido autodenominado “misere”, confirmando — segundo relatos da comunidade OSINT FrenchBreaches — a posse dos dados.
O Tchap é o WhatsApp francês para servidores públicos. Lançado em 2019 como resposta governamental ao uso massivo de aplicativos americanos para troca de mensagens sensíveis — prática considerada incompatível com requisitos de soberania digital — o serviço foi construído sobre o protocolo Matrix e oferece salas de chat com criptografia ponta a ponta, além de salas públicas não criptografadas.
A DINUM afirma que 73 mil contas foram afetadas, “representando menos de 9% dos usuários registrados”. Essa retórica de minimização, embora tecnicamente correta, ignora que essas contas pertencem a servidores públicos com acesso a informações administrativas, deliberações políticas e contatos diplomáticos.
Detalhes do incidente
A DINUM atribui o comprometimento a um ataque baseado em credenciais, sem detalhar se houve phishing direcionado, credential stuffing ou exploração de falha em provedor de identidade. O grupo misere — sobre o qual não há histórico em nenhum repositório público de threat intelligence — reivindica ter copiado 13,5 GB de arquivos e mais de 643 mil mensagens.
A reivindicação não pôde ser verificada de forma independente porque o post original do misere não está mais acessível, e os dados não foram publicados em fóruns underground. O cenário sugere duas possibilidades: ou o ator está tentando extorquir a DINUM em silêncio, ou trata-se de operação com motivação não financeira que quer apenas sinalizar a violação.
“Desde 2024, atores estatais tendem a infiltrar e ficar quietos. O alarmante hoje é uma nova tendência: atores estatais comprometem infraestrutura crítica nacional e seus fornecedores silenciosamente, instalando backdoors em tudo para ter controle quando precisarem.” — Ilya Kolochenko, especialista em cibersegurança
Quem é afetado
- 73 mil servidores públicos franceses com dados pessoais comprometidos.
- Ministérios e órgãos federais cujas comunicações internas em salas não criptografadas podem ter sido capturadas.
- Contatos de terceiros mencionados nas conversas — fornecedores, contrapartes internacionais, jornalistas, lobistas — que ganham exposição indireta.
- Modelo francês de soberania digital, fragilizado simbolicamente pela violação de seu principal showcase para outros países europeus.
Análise
O caso Tchap expõe três realidades incômodas sobre o discurso de “soberania digital”. Primeira: trocar o fornecedor americano por uma stack europeia open-source (Matrix/Element/Synapse) não substitui a higiene básica de segurança. A grande maioria dos breaches de plataformas Matrix não envolve quebra criptográfica — envolve credenciais comprometidas, configuração ruim ou exploração de bugs no servidor de homeservers. Soberania de software não compra resiliência operacional.
Segunda: a obsessão com end-to-end encryption desvia atenção do real surface de ataque. Conversas E2E são apenas uma parte; metadados, listas de contatos, room IDs, registros de presença e — crucialmente — salas “públicas” não criptografadas (frequentemente usadas para coordenação operacional banal) representam alvo extraordinariamente rico para inteligência adversária. O misere afirma ter exfiltrado 643 mil mensagens, provavelmente em grande parte de salas não criptografadas.
Terceira: a hipótese de “trivialidade demais para Estado-nação”, levantada pelo especialista Ilya Kolochenko, é importante mas tem limites. Em uma era em que atores estatais maduros priorizam pré-posicionamento silencioso em infraestrutura crítica, um vazamento ruidoso atribuído a um ator desconhecido pode ser exatamente o disfarce ideal para uma operação de inteligência: distrair com o vazamento espalhafatoso enquanto a verdadeira persistência em sistemas adjacentes permanece intacta.
Para o Brasil, que discute alternativas soberanas para comunicação institucional desde o GovBR Mail até propostas de “WhatsApp do governo”, a lição é direta: soberania exige investimento contínuo em red teaming, gestão de identidade robusta, monitoramento, e governance — não apenas substituição de fornecedor.
Recomendações práticas
- Para organizações operando plataformas Matrix/Element internas: exija MFA via passkeys ou FIDO2, audite contas com privilégios elevados, mantenha o homeserver Synapse atualizado e habilite rate limiting agressivo em endpoints de login.
- Trate salas “públicas” como públicas mesmo: não use para coordenação sensível. Defina política clara de classificação por tipo de sala.
- Monitore tráfego anômalo de download em massa via API do Matrix (eventos de sync com payloads atípicos).
- Gestão de identidade federada: integre Tchap-like services ao IdP corporativo com Conditional Access (localização, posture, MFA contextual).
- Plano de resposta: tabletop incluindo cenário de vazamento de mensagens internas e impacto reputacional/político.
- Para CIOs do setor público brasileiro: mesmo que sua plataforma seja soberana, exija pentests externos anuais, programa de bug bounty e SOC operando 24×7.
Fonte: SecurityWeek
