Franse chatapp voor ambtenaren was toegankelijk voor buitenstaanders door bug

Een op privacy gerichte communicatieapp van de Franse overheid is vrijwel direct na de release gekraakt. De Franse overheid had Tchap ontwikkeld als interne berichtendienst, maar een beveiligingsonderzoeker wist al snel zelf toegang tot de dienst te krijgen.

TchapDe app was alleen bedoeld voor intern gebruik door Franse overheidsambtenaren. Zij konden toegang krijgen met een e-mailadres dat eindigt op @gouv.fr of @elysee.fr. Een beveiligingsonderzoeker die zichzelf Elliot Alderson noemt wist echter binnen te komen door @elysee.fr achter zijn volledige eigen e-mailadres te plakken. Door toegang te krijgen tot de publieke kanalen kon hij meelezen met communicatie tussen ambtenaren.

Tchap is een fork van de bestaande chat-app Riot. Daarin kunnen gebruikers publieke kanalen maken en privé chatten. De app werkt op basis van het Matrix-protocol, een alternatief voor het Signal-protocol waar naast Signal ook WhatsApp mee wordt versleuteld. Berichten op Tchap hebben eind-tot-eindencryptie en worden op Franse servers opgeslagen.

De bug zou zitten in de manier waarop bepaalde Python-modules worden geparset. De onderzoeker gaf het lek door aan de Matrix-ontwikkelaars en wachtte met publiceren tot het lek verholpen was. Hij beschreef zijn bevindingen later in een blogpost. Het lek is inmiddels gedicht en volgens Matrix is er geen misbruik van gemaakt.

De app Tchap werd woensdag als bèta uitgebracht door de Franse overheid. Tchap moet een veilig alternatief zijn voor WhatsApp en Telegram, twee apps die veel door ambtenaren gebruikt werden. Tchap is gemaakt door het Direction interministérielle des systèmes d'information et de communication de l'Etat of Dinsic. Dat is de Franse overheidsdienst die over digitale zaken gaat.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 19-04-2019 16:18 32

19-04-2019 • 16:18

32

Lees meer

Frankrijk verbiedt gebruik van WhatsApp en Signal op overheidstelefoons
Frankrijk verbiedt gebruik van WhatsApp en Signal op overheidstelefoons Nieuws van 30 november 2023
Matrix brengt alfaversie uit van peer-to-peer-chatprotocol
Matrix brengt alfaversie uit van peer-to-peer-chatprotocol Nieuws van 4 juni 2020
KPN brengt bèta uit van dienst om versleuteld bestanden te versturen - update
KPN brengt bèta uit van dienst om versleuteld bestanden te versturen - update Nieuws van 16 april 2019
Zuckerberg wil end-to-endencryptie toevoegen aan Instagram en Messenger
Zuckerberg wil end-to-endencryptie toevoegen aan Instagram en Messenger Nieuws van 31 januari 2019
Microsoft voegt end-to-end-encryptie via Signal-protocol toe aan Skype
Microsoft voegt end-to-end-encryptie via Signal-protocol toe aan Skype Nieuws van 11 januari 2018
Meer producten en artikelen
Networking en security Frankrijk Signal

Reacties (32)

-Moderatie-faq
32
31
18
3
0
1
Wijzig sortering

Sorteer op:

Weergave:
Eloy 19 april 2019 16:27
Voor de geïnteresseerden, hier is een leuke lezing van FOSDEM te zien over het project: https://fosdem.org/2019/schedule/event/matrix_french_state/
Anonymoussaurus 19 april 2019 16:31
Nog wat meer interessante Tweets van fs0c131y omtrent dit onderwerp:@TijsHofmans Blijkbaar is het ook een Python-bekend probleem: https://bugs.python.org/issue34155

Hadden ze misschien nog wel omheen kunnen werken though.

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 04:51]

Stoelpoot 19 april 2019 16:24
Aan de ene kant, niet de schuld van de devs lijkt het op. Aan de andere kant... Testing is blijkbaar iets voor Engelsen, dus doen Fransen het maar niet? Om het op z'n Rob Geus te zeggen... Monsieur monsieur monsieur.
Anonymoussaurus @Stoelpoot19 april 2019 16:32
Blijkbaar is het ook een Python-bug sinds een tijdje :+.
Verwijderd @Stoelpoot19 april 2019 17:13
Monsieur monsieur monsieur.
:') Prachtig dit.

Maar dat terzijde, je zou zeggen dat als je een applicatie gaat publiceren die security propageert dat je hem dan ook eerst kapot gaat proberen te maken om te voorkomen dat een ander dat doet. Je weet natuurlijk gewoon dat mensen je claims gaan toetsen.
William_H 19 april 2019 16:56
Ah, niet alleen in Nederland proberen ze het wiel opnieuw uit te vinden. Hoewel ze voortborduren op een bestaand platform, wel een nieuwe app bouwen. Is het niet handiger om dan gewoon een bestaande app te gebruiken en die in te zetten voor je eigen communicatie, met behulp van dedicated servers.
batjes
@William_H19 april 2019 17:15
Overheden proberen juist steeds meer projecten zelf te doen in plaats van uit te besteden. Dat is juist een positieve ontwikkeling.
Lord Driminicus @William_H19 april 2019 19:55
Het is een bestaande app. Echter heeft de Franse overheid een aantal eisen die volstrekt redelijk zijn voor een overheidsinstelling, maar voor de generieke app juist onacceptabel zijn.
Bijvoorbeeld: de Franse overheid wil dat bestanden gedeeld in een end-to-end encrypted room toch op virussen wordt gescand. Dat kan niet lokaal op telefoons, en dus is daar een (mijns inziens bijzonder slimme) oplossing voor gevonden. Echter zou ik voor mijn communicatie die virusscan stap niet willen, omdat het elk bestand dat verzonden wordt via een centrale virusscan-server stuurt.

Verder zijn er wat GUI veranderingen, maar de app heeft nog steeds dezelfde SDK als basis, en features voor de tchap app worden (als dat een goed idee is) naar riot-android gebracht en andersom.
klakkie.57th 19 april 2019 16:54
Als dit zo een belangrijke app is, waarom is deze dan van buitenaf bereikbaar ?? Intern hosten en endpoints beveiligen .... of zie ik nu iets over het hoofd
batjes
@klakkie.57th19 april 2019 17:13
Omdat mensen ook buiten kantoor aan het werk willen?

Onze werkplekken zijn ook vanaf de hele wereld bereikbaar. Als in ons systeem een bug zit waardoor hackers in onze omgeving kunnen komen, hebben we een ontzettend groot probleem. Maar als we onze werkplekken niet buiten kantoor beschikbaar maken hebben we een veel groter probleem.

Security werkt maar tot een bepaald niveau, als het de werkzaamheden in de weg gaat zitten gaan gebruikers omwegen verzinnen die een veel groter gevaar vormen.
Anonymoussaurus @batjes19 april 2019 17:16
Daar heb je dan weer een VPN voor (met 2FA). Of kan je bij jullie altijd inloggen ook zonder VPN? Dat vind ik pas kwalijk.
batjes
@Anonymoussaurus19 april 2019 17:20
We hebben wel 2FA voor alles buiten het vaste netwerk, maar geen VPN verplichting, wel vereist als je remote lokaal wilt werken.

We moeten het ook niet te complex maken voor een gebruikersgroep die onze cloud omgeving steevast iCloud blijft noemen.
klakkie.57th @batjes19 april 2019 22:28
@Anonymoussaurus precies ook mijn idee. Wat is er nu in godsnaam moeilijk aan een VPN.
Als je dan nog eens praat over gevoelige informatie van staatsbelang, vind ik werken zonder Private network pure nalatigheid.
Eigenlijk zou de overheid gewoon zijn eigen netwerk moeten hebben en niet afhankelijk moeten zijn van privé ondernemingen (dan heb je technisch gezien geen VPN nodig). pure onkunde... en dat is hier weer maar eens gebleken.


Daarenboven moet je security zo goed zijn dat de eindgebruikers geen omwegen kunnen verzinnen.
en als ze dat toch doen moet je maar 1 keer een voorbeeld stellen en ze hebben het wel begrepen.

[Reactie gewijzigd door klakkie.57th op 23 juli 2024 04:51]

batjes
@klakkie.57th19 april 2019 22:35
Oke, het verschil tussen al het verkeer via vpn in onze datacentra of via de 'cloud' via onze datacentra?
Maakt het uit? Als ze in de cloud kunnen komen, kunnen ze op de VPN komen. Eenmaal binnen bij zo'n gebruiker en het houdt op, de gebruiker is veruit de zwakste schakel. Een VPN geeft geen extra laag van bescherming.

Biedt alleen meerwaarde als er lokaal op de laptop gewerkt wordt, en dan is VPN bij ons ook gewoon verreist.
klakkie.57th @batjes19 april 2019 22:46
Ik heb het sowieso al enkel voor fully managed devices, dus BYOD of cloud webbased stuff is een NOGO. Ik wil endpoints toeschroeven dat je nog geen icoon kunt verslepen zonder dat het gemeld wordt.
Eindgebruikers hebben gewoon veel teveel vrijheid gekregen

Let's agree to disagree
r2504 @klakkie.57th20 april 2019 14:48
Verplaats je af en toe ook eens in de plaats van de werknemer... ik ken omgevingen die gewoon niet meer werkbaar zijn omdat techneuten erop kicken alle vrijheden af te nemen.

Gelukkig ken ik beide kanten van het verhaal en heb ik begrip voor sommige dingen maar ook niet voor alles.
klakkie.57th @r250420 april 2019 17:37
De werkgever moet gewoon alles doen zodat de werknemer zijn "werk" kan uitvoeren al de rest is gewoon geen argument. Daar komt alleen maar miserie van, die de techneut dan wel weer mag oplossen. Beter voorkomen dan genezen !!. Voorbeeldje van vorige vrijdag.
Eindgebruiker : "waarom kan ik geen powershell sessie opzetten naar mijn azure VM?"
Waarop ik antwoordde:: "welke VM, in welke azure subscriptie".
Eindgebruiker : "eentje die ik zelf heb opgezet, was toch gratis voor 30d.
Waarop ik antwoordde: "wie heeft dat goedgekeurd ?",
Waarop hij weer antwoordde "niet belangrijk, ik weet wel hoe het moet".
...
voor je het goed en wel beseft , ligt klantendata op straat.

Dit soort gebruikers verpesten het dus voor iedereen, niet de Technuet.

[Reactie gewijzigd door klakkie.57th op 23 juli 2024 04:51]

Tokkes @klakkie.57th20 april 2019 20:53
Dus gebruikers binnen die Azure omgeving van je hebben gewoon de rechten om zo'n subscriptions en VM's aan te maken?

Ouch.

[Reactie gewijzigd door Tokkes op 23 juli 2024 04:51]

klakkie.57th @Tokkes21 april 2019 00:55
correctie, hun eigen Azure subscription, zoals iedereen er één persoonlijk kan aanmaken.
Mic2000 19 april 2019 16:20
Netjes dat hij het meldt en wacht met publiceren totdat de bug verholpen is. Geef die man even een kleine beloning :Y)
theduke1989 @Mic200019 april 2019 16:23
Als beveilingsonderzoeker

Is dat toch je baan? Ik denk dat die gewoon van zijn bedrijf ( baas ) geld krijgt. Of zijn dit soort banen vaak ZZP?
Anonymoussaurus @theduke198919 april 2019 16:26
Voor zover ik weet is deze gast ZZP'er. Sterker nog: volgens mij is het gewoon z'n hobby en handelt hij niet namens een bedrijf of iets.

https://fs0c131y.com/
bloq @Anonymoussaurus20 april 2019 20:36
Wat een chille domeinnaam _/-\o_
Jace / TBL 19 april 2019 17:21
Een dienst die Direction interministérielle des systèmes d'information et de communication de l'Etat of Dinsic heet, klinkt niet als iets dat gewoon kijkt welke bestaande en uitgebreid geteste oplossingen er al bestaan (zoals Signal) en dat dan gebruiken. Die moeten natuurlijk weer eigen wielen uitvinden, wat zeker met cryptografie doorgaans geen goed idee is.
Jelv @Jace / TBL19 april 2019 23:05
Prima idee toch om niet afhankelijk van Amerikaans, Chinees of Japans bedrijf te willen zijn voor je interne communicatie. Fransen zijn wat eigenwijs, maar gezien de wereld nu zouden we gewoon hun voorbeeld moeten volgen. Matrix en Riot zijn nog wel wat jong maar zouden wat mij betreft best wat Europese funding mogen krijgen.
Jonathan-458 19 april 2019 19:40
Maar speelt dit nu ook bij alle RIOT forks?
Lord Driminicus @Jonathan-45819 april 2019 19:56
Nee, het is een implementatie-fout specifiek voor tchap.
Jonathan-458 @Lord Driminicus19 april 2019 20:45
Thx
Jeoh 19 april 2019 16:21
Tchappies...
Xerpan 20 april 2019 10:03
Ik zou willen dat men nu eens stopt met de antieke term 'bug'. Alsof er niets aan kon worden gedaan.
Er zijn altijd maar twee opties: iets is een fout (ook als iets over het hoofd is gezien), of het is een feature.
Ik laat in het midden wat het in dit geval is.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq