Přejít na hlavní obsah
CIAD

Francouzská vládní aplikace Tchap prolomená: uniklo 73 tisíc účtů úředníků

Útočník misere získal přístup do Tchap sociálním inženýrstvím a exfiltroval 73 tisíc účtů, 643 tisíc zpráv a 13,5 GB dat.

Když má stát vlastní šifrovanou komunikační platformu, mělo by být bezpečí zaručeno. Tchap, francouzský ekvivalent interního Slacku pro státní zaměstnance, byl právě prolomen. Ne sofistikovanou hackerskou technikou, ale jednoduchým podvodem: útočník přesvědčil člověka, aby mu otevřel dveře.

Co se stalo

Dne 7. června 2026 se Tchap, komunikační platforma pro francouzské úředníky, stala terčem cíleného útoku. Útočník vystupující pod přezdívkou “misere” získal přístup ke kompromitovanému účtu prostřednictvím sociálního inženýrství (manipulace, při níž útočník přesvědčí člověka, aby sám prozradil přístupové údaje nebo provedl nebezpečnou akci) v prostředí vzdělávacího sektoru. Incident potvrdily francouzské vládní agentury DINUM a ANSSI 8. června a okamžitě zahájily vyšetřování.

Co útočník získal

Tchap používá více než 825 000 registrovaných státních zaměstnanců a je pro francouzské úředníky povinný od srpna 2025. Jde o primární interní komunikační kanál celé francouzské veřejné správy.

Tvrzený rozsah toho, co útočník odcizil a odeslal ven, je:

  • 73 467 uživatelských účtů
  • 643 459 zpráv
  • 876 chatovacích místností
  • 59 386 mediálních souborů o celkovém objemu 13,5 GB

Mezi odcizenými daty se nacházely i odkazy na dokumenty označené jako “Diffusion Restreinte”, tedy s omezenou distribucí. Nezávislé ověření přesného rozsahu exfiltrace (odeslání dat mimo organizaci) nebylo k datu uzavření tohoto článku dokončeno.

Proč je to důležité i mimo Francii

Tchap byl záměrně budován jako suverénní alternativa ke komerčním platformám právě z důvodu ochrany citlivé komunikace. Útočník přesto pronikl dovnitř, a to přes jediný kompromitovaný lidský účet.

To ukazuje klíčovou pravdu: technicky sebelepší platforma nezastaví útok, pokud uživatel sám pustí útočníka dál. Protokol Matrix, na němž Tchap stojí, zůstal neprolomený. Selhalo ověření identity člověka, ne kód.

Pro českou a evropskou veřejnou správu je to připomínka: zavedení šifrovaného nástroje nestačí. Lidský faktor zůstává nejčastěji zneužívaným místem vstupu při útocích na vládní infrastrukturu.

Co z toho plyne

Tchap nebyl prolomen dírou v softwaru, ale dírou v procesech. Jeden člověk, jeden podvod, 73 467 účtů a 643 459 zpráv venku. Doporučení, která z incidentu plynou:

  • Zavést povinné vícefaktorové ověřování (MFA, tedy přihlášení s druhým krokem potvrzení nad rámec hesla) pro všechny přístupy do vládních komunikačních systémů, zejména pro administrátorské a vzdělávací role.
  • Pravidelně školit zaměstnance v rozpoznávání pokusů o sociální inženýrství, včetně simulovaných phishingových testů.
  • Segmentovat přístupy tak, aby kompromitace jednoho účtu neumožňovala přístup k rozsáhlé komunikační historii celé organizace.
  • Monitorovat anomálie v objemu stahovaných dat a neobvyklé vzorce přístupu v reálném čase.
  • Klasifikovat dokumenty sdílené na interních platformách a omezit přístup k citlivým kategoriím (ekvivalent “Diffusion Restreinte”) na principu nejnižších potřebných oprávnění.

Pokud řešíte bezpečnost interní komunikace ve vaší organizaci, ozvěte se na office@ciad.cz.

Zdroje:

Tento přehled sestavil automatizovaný redakční systém CIAD z veřejně dostupných zdrojů, ověřil fakta vůči více nezávislým zdrojům a uvedl je níže. Redakční odpovědnost nese CIAD. Nepřesnost nahlaste na office@ciad.cz.

← Zpět na blog