A cybersecurity researcher found a way to get inside the messaging application, theoretically secure, of the French government. This application should only be accessed by officials and politicians with associated accounts.
Tchap is the name of this application created by the French government to keep the data of its officials, parliamentarians and ministers on servers within the country and thus prevent espionage by other countries on this information.
The application has been created using the Riot client, an open-source instant messaging software that implements the Matrix protocol, el cual hace que la conexiones se cifren de extremo a extremo.
A pesar de que Tchap está disponible en la Play Store, sólo los usuarios con cuentas en los dominios gubernamentales pueden registrarse y acceder a ella.
However, un investigador de ciberseguridad francés, Robert Baptiste, encontró una brecha de seguridad que permitía a cualquier persona crearse una cuenta en Tchap y acceder a grupos y canales sin necesidad de una dirección de correo electrónico oficial.
To achieve this, simplemente modificó su correo electrónico añadiendo “@presidence@elysee.fr” y la aplicación no solo le permitió crearse una cuenta, sino que también le dio acceso a los canales públicos del Elíseo.