Французское правительство открыло исходные коды мессенджера Tchap с end-to-end шифрованием, созданного специально для госслужащих и призванного заменить Telegram, WhatsApp и другие подобные решения. В конце прошлой недели приложение уже появилось в официальных каталогах для iOS и Android. Исходники же были опубликованы на GitHub, чтобы собственную версию Tchap могли запустить и другие организации.

Замечу, что скачать мессенджер может любой желающий, однако воспользоваться им не выйдет: по задумке разработчиков, он позволяет зарегистрироваться только пользователям с почтовыми ящиками на правительственных доменах Франции.

Разработка Tchap началась летом 2018 года и базировалась на хорошо известном опенсорсном мессенджере Riot. Разработкой занимались специалисты Межведомственного управления цифровых информационных систем и коммуникаций (DINSIC) под патронажем Национального агентства Франции по безопасности информационных систем (ANSSI).  Предполагается, что Tchap заменит госслужащим, органам власти и избранным частным организациям прочие средства коммуникации, такие как Telegram, Signal, WhatsApp, Wickr и так далее.

Спустя всего несколько часов после релиза исходных кодов, независимый ИБ-специалист Батист Робер (Baptiste Robert) обнаружил в мессенджере опасную уязвимость. Фактически баг позволяет любому пользователю с зарегистрированным аккаунтом шпионить за внутренними коммуникации французского правительства. Например, исследователь шутит, что он совсем не хотел знать о том, что сотрудники Министерства сельского хозяйства уже создали группу "для тех, кто любит все желтое".

Робер пишет, что просто добавив к своей обычной почте правительственный домен (@gouv.fr или @elysee.fr), он сумел зарегистрироваться в приложении, чего никак не должно было произойти. Идея заключалась в том, чтобы ввести в приложение адрес вида «имя@домен.ком@домен-француского-правительства.com». Для эксплуатации бага исследователю пришлось нагуглить существующий почтовый ящик на elysee.fr, но других трудностей не возникло.

Разработчики Riot уже подготовили патч для найденной Робером проблемы, исправление должно добраться до конечных пользователей Tchap в ближайшие дни.

1 комментарий

  1. Аватар

    Jeffrey Davis

    23.04.2019 at 11:24

    Государственники и распил по разным странам примерно одинаковы и различаются, видимо, лишь степенью. Чиновников почему-то не устраивал чат в частных Telegram и WhatsApp, и решили они попилить на запиле собственной правительственной аськи с блэкджеком и шлюхами, нескучными обоями и тотальным огораживанием, чтоб не знали непосвящённые граждане, как решаются вопросы государственной важности в секретном чате сотрудников Министерства сельского хозяйства «для тех, кто любит всё жёлтое». Проблема в том, что на госзаказе безопасность предсказуемо пострадала. Ну, и поделом.

Оставить мнение