Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Franse chatapp voor ambtenaren was toegankelijk voor buitenstaanders door bug

Een op privacy gerichte communicatieapp van de Franse overheid is vrijwel direct na de release gekraakt. De Franse overheid had Tchap ontwikkeld als interne berichtendienst, maar een beveiligingsonderzoeker wist al snel zelf toegang tot de dienst te krijgen.

De app was alleen bedoeld voor intern gebruik door Franse overheidsambtenaren. Zij konden toegang krijgen met een e-mailadres dat eindigt op @gouv.fr of @elysee.fr. Een beveiligingsonderzoeker die zichzelf Elliot Alderson noemt wist echter binnen te komen door @elysee.fr achter zijn volledige eigen e-mailadres te plakken. Door toegang te krijgen tot de publieke kanalen kon hij meelezen met communicatie tussen ambtenaren.

Tchap is een fork van de bestaande chat-app Riot. Daarin kunnen gebruikers publieke kanalen maken en privé chatten. De app werkt op basis van het Matrix-protocol, een alternatief voor het Signal-protocol waar naast Signal ook WhatsApp mee wordt versleuteld. Berichten op Tchap hebben eind-tot-eindencryptie en worden op Franse servers opgeslagen.

De bug zou zitten in de manier waarop bepaalde Python-modules worden geparset. De onderzoeker gaf het lek door aan de Matrix-ontwikkelaars en wachtte met publiceren tot het lek verholpen was. Hij beschreef zijn bevindingen later in een blogpost. Het lek is inmiddels gedicht en volgens Matrix is er geen misbruik van gemaakt.

De app Tchap werd woensdag als bèta uitgebracht door de Franse overheid. Tchap moet een veilig alternatief zijn voor WhatsApp en Telegram, twee apps die veel door ambtenaren gebruikt werden. Tchap is gemaakt door het Direction interministérielle des systèmes d'information et de communication de l'Etat of Dinsic. Dat is de Franse overheidsdienst die over digitale zaken gaat.

Door Tijs Hofmans

Redacteur

19-04-2019 • 16:18

32 Linkedin Google+

Reacties (32)

Wijzig sortering
Voor de geïnteresseerden, hier is een leuke lezing van FOSDEM te zien over het project: https://fosdem.org/2019/schedule/event/matrix_french_state/
Nog wat meer interessante Tweets van fs0c131y omtrent dit onderwerp:@TijsHofmans Blijkbaar is het ook een Python-bekend probleem: https://bugs.python.org/issue34155

Hadden ze misschien nog wel omheen kunnen werken though.

[Reactie gewijzigd door AnonymousWP op 19 april 2019 16:32]

Aan de ene kant, niet de schuld van de devs lijkt het op. Aan de andere kant... Testing is blijkbaar iets voor Engelsen, dus doen Fransen het maar niet? Om het op z'n Rob Geus te zeggen... Monsieur monsieur monsieur.
Monsieur monsieur monsieur.
:') Prachtig dit.

Maar dat terzijde, je zou zeggen dat als je een applicatie gaat publiceren die security propageert dat je hem dan ook eerst kapot gaat proberen te maken om te voorkomen dat een ander dat doet. Je weet natuurlijk gewoon dat mensen je claims gaan toetsen.
Ah, niet alleen in Nederland proberen ze het wiel opnieuw uit te vinden. Hoewel ze voortborduren op een bestaand platform, wel een nieuwe app bouwen. Is het niet handiger om dan gewoon een bestaande app te gebruiken en die in te zetten voor je eigen communicatie, met behulp van dedicated servers.
Overheden proberen juist steeds meer projecten zelf te doen in plaats van uit te besteden. Dat is juist een positieve ontwikkeling.
Het is een bestaande app. Echter heeft de Franse overheid een aantal eisen die volstrekt redelijk zijn voor een overheidsinstelling, maar voor de generieke app juist onacceptabel zijn.
Bijvoorbeeld: de Franse overheid wil dat bestanden gedeeld in een end-to-end encrypted room toch op virussen wordt gescand. Dat kan niet lokaal op telefoons, en dus is daar een (mijns inziens bijzonder slimme) oplossing voor gevonden. Echter zou ik voor mijn communicatie die virusscan stap niet willen, omdat het elk bestand dat verzonden wordt via een centrale virusscan-server stuurt.

Verder zijn er wat GUI veranderingen, maar de app heeft nog steeds dezelfde SDK als basis, en features voor de tchap app worden (als dat een goed idee is) naar riot-android gebracht en andersom.
Als dit zo een belangrijke app is, waarom is deze dan van buitenaf bereikbaar ?? Intern hosten en endpoints beveiligen .... of zie ik nu iets over het hoofd
Omdat mensen ook buiten kantoor aan het werk willen?

Onze werkplekken zijn ook vanaf de hele wereld bereikbaar. Als in ons systeem een bug zit waardoor hackers in onze omgeving kunnen komen, hebben we een ontzettend groot probleem. Maar als we onze werkplekken niet buiten kantoor beschikbaar maken hebben we een veel groter probleem.

Security werkt maar tot een bepaald niveau, als het de werkzaamheden in de weg gaat zitten gaan gebruikers omwegen verzinnen die een veel groter gevaar vormen.
Daar heb je dan weer een VPN voor (met 2FA). Of kan je bij jullie altijd inloggen ook zonder VPN? Dat vind ik pas kwalijk.
We hebben wel 2FA voor alles buiten het vaste netwerk, maar geen VPN verplichting, wel vereist als je remote lokaal wilt werken.

We moeten het ook niet te complex maken voor een gebruikersgroep die onze cloud omgeving steevast iCloud blijft noemen.
@AnonymousWP precies ook mijn idee. Wat is er nu in godsnaam moeilijk aan een VPN.
Als je dan nog eens praat over gevoelige informatie van staatsbelang, vind ik werken zonder Private network pure nalatigheid.
Eigenlijk zou de overheid gewoon zijn eigen netwerk moeten hebben en niet afhankelijk moeten zijn van privé ondernemingen (dan heb je technisch gezien geen VPN nodig). pure onkunde... en dat is hier weer maar eens gebleken.


Daarenboven moet je security zo goed zijn dat de eindgebruikers geen omwegen kunnen verzinnen.
en als ze dat toch doen moet je maar 1 keer een voorbeeld stellen en ze hebben het wel begrepen.

[Reactie gewijzigd door klakkie.57th op 19 april 2019 22:35]

Oke, het verschil tussen al het verkeer via vpn in onze datacentra of via de 'cloud' via onze datacentra?
Maakt het uit? Als ze in de cloud kunnen komen, kunnen ze op de VPN komen. Eenmaal binnen bij zo'n gebruiker en het houdt op, de gebruiker is veruit de zwakste schakel. Een VPN geeft geen extra laag van bescherming.

Biedt alleen meerwaarde als er lokaal op de laptop gewerkt wordt, en dan is VPN bij ons ook gewoon verreist.
Ik heb het sowieso al enkel voor fully managed devices, dus BYOD of cloud webbased stuff is een NOGO. Ik wil endpoints toeschroeven dat je nog geen icoon kunt verslepen zonder dat het gemeld wordt.
Eindgebruikers hebben gewoon veel teveel vrijheid gekregen

Let's agree to disagree
Verplaats je af en toe ook eens in de plaats van de werknemer... ik ken omgevingen die gewoon niet meer werkbaar zijn omdat techneuten erop kicken alle vrijheden af te nemen.

Gelukkig ken ik beide kanten van het verhaal en heb ik begrip voor sommige dingen maar ook niet voor alles.
De werkgever moet gewoon alles doen zodat de werknemer zijn "werk" kan uitvoeren al de rest is gewoon geen argument. Daar komt alleen maar miserie van, die de techneut dan wel weer mag oplossen. Beter voorkomen dan genezen !!. Voorbeeldje van vorige vrijdag.
Eindgebruiker : "waarom kan ik geen powershell sessie opzetten naar mijn azure VM?"
Waarop ik antwoordde:: "welke VM, in welke azure subscriptie".
Eindgebruiker : "eentje die ik zelf heb opgezet, was toch gratis voor 30d.
Waarop ik antwoordde: "wie heeft dat goedgekeurd ?",
Waarop hij weer antwoordde "niet belangrijk, ik weet wel hoe het moet".
...
voor je het goed en wel beseft , ligt klantendata op straat.

Dit soort gebruikers verpesten het dus voor iedereen, niet de Technuet.

[Reactie gewijzigd door klakkie.57th op 20 april 2019 17:38]

Dus gebruikers binnen die Azure omgeving van je hebben gewoon de rechten om zo'n subscriptions en VM's aan te maken?

Ouch.

[Reactie gewijzigd door Tokkes op 20 april 2019 20:53]

correctie, hun eigen Azure subscription, zoals iedereen er één persoonlijk kan aanmaken.
Netjes dat hij het meldt en wacht met publiceren totdat de bug verholpen is. Geef die man even een kleine beloning :Y)
Als beveilingsonderzoeker

Is dat toch je baan? Ik denk dat die gewoon van zijn bedrijf ( baas ) geld krijgt. Of zijn dit soort banen vaak ZZP?
Voor zover ik weet is deze gast ZZP'er. Sterker nog: volgens mij is het gewoon z'n hobby en handelt hij niet namens een bedrijf of iets.

https://fs0c131y.com/
Wat een chille domeinnaam _/-\o_
Een dienst die Direction interministérielle des systèmes d'information et de communication de l'Etat of Dinsic heet, klinkt niet als iets dat gewoon kijkt welke bestaande en uitgebreid geteste oplossingen er al bestaan (zoals Signal) en dat dan gebruiken. Die moeten natuurlijk weer eigen wielen uitvinden, wat zeker met cryptografie doorgaans geen goed idee is.
Prima idee toch om niet afhankelijk van Amerikaans, Chinees of Japans bedrijf te willen zijn voor je interne communicatie. Fransen zijn wat eigenwijs, maar gezien de wereld nu zouden we gewoon hun voorbeeld moeten volgen. Matrix en Riot zijn nog wel wat jong maar zouden wat mij betreft best wat Europese funding mogen krijgen.
Maar speelt dit nu ook bij alle RIOT forks?
Nee, het is een implementatie-fout specifiek voor tchap.
Tchappies...
Ik zou willen dat men nu eens stopt met de antieke term 'bug'. Alsof er niets aan kon worden gedaan.
Er zijn altijd maar twee opties: iets is een fout (ook als iets over het hoofd is gezien), of het is een feature.
Ik laat in het midden wat het in dit geval is.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Google

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True