Een op privacy gerichte communicatieapp van de Franse overheid is vrijwel direct na de release gekraakt. De Franse overheid had Tchap ontwikkeld als interne berichtendienst, maar een beveiligingsonderzoeker wist al snel zelf toegang tot de dienst te krijgen.
De app was alleen bedoeld voor intern gebruik door Franse overheidsambtenaren. Zij konden toegang krijgen met een e-mailadres dat eindigt op @gouv.fr of @elysee.fr. Een beveiligingsonderzoeker die zichzelf Elliot Alderson noemt wist echter binnen te komen door @elysee.fr achter zijn volledige eigen e-mailadres te plakken. Door toegang te krijgen tot de publieke kanalen kon hij meelezen met communicatie tussen ambtenaren.
Tchap is een fork van de bestaande chat-app Riot. Daarin kunnen gebruikers publieke kanalen maken en privé chatten. De app werkt op basis van het Matrix-protocol, een alternatief voor het Signal-protocol waar naast Signal ook WhatsApp mee wordt versleuteld. Berichten op Tchap hebben eind-tot-eindencryptie en worden op Franse servers opgeslagen.
De bug zou zitten in de manier waarop bepaalde Python-modules worden geparset. De onderzoeker gaf het lek door aan de Matrix-ontwikkelaars en wachtte met publiceren tot het lek verholpen was. Hij beschreef zijn bevindingen later in een blogpost. Het lek is inmiddels gedicht en volgens Matrix is er geen misbruik van gemaakt.
De app Tchap werd woensdag als bèta uitgebracht door de Franse overheid. Tchap moet een veilig alternatief zijn voor WhatsApp en Telegram, twee apps die veel door ambtenaren gebruikt werden. Tchap is gemaakt door het Direction interministérielle des systèmes d'information et de communication de l'Etat of Dinsic. Dat is de Franse overheidsdienst die over digitale zaken gaat.