A DINUM, a direção digital do governo francês, confirmou que um agente malicioso acedeu ao Tchap — a plataforma de mensagens cifradas usada exclusivamente pelo setor público francês — através de uma conta de utilizador previamente comprometida. O incidente foi detetado pela ANSSI, a agência nacional de cibersegurança francesa, e divulgado publicamente no início da semana de 9 de junho de 2026.
O que é o Tchap e porquê é relevante
Desenvolvido em 2018 pela DINUM em colaboração com a ANSSI, o Tchap é uma plataforma de mensagens e colaboração baseada no protocolo descentralizado Matrix, concebida especificamente para os servidores internos do Estado francês. O objetivo era criar uma alternativa soberana a aplicações como o WhatsApp ou o Telegram para comunicações entre funcionários públicos.
A relevância do incidente aumenta quando se considera que, desde agosto de 2025, o uso do Tchap passou a ser obrigatório para todos os agentes da administração pública francesa, por decisão do primeiro-ministro François Bayrou, que simultaneamente proibiu o uso de aplicações estrangeiras para comunicações profissionais. A plataforma conta atualmente com mais de 300.000 utilizadores mensais e ultrapassa os 500.000 downloads na Play Store.
Como aconteceu o ataque
Segundo a DINUM, a ANSSI detetou a intrusão no domingo anterior ao comunicado, tendo concluído que um agente de ameaça acedeu à plataforma através de uma conta de utilizador comprometida. A conta foi identificada e bloqueada de imediato, e a investigação encontra-se em curso para determinar a extensão dos dados a que o atacante teve acesso, nomeadamente através da análise dos registos de eventos.
Em paralelo, a DINUM notificou a CNIL, a autoridade francesa de proteção de dados, dada a potencial exposição de informação pessoal partilhada por utilizadores em conversações acessíveis ao intruso. Foi ainda enviado um alerta a todos os utilizadores do Tchap, lembrando que as salas de chat públicas são acessíveis a qualquer utilizador registado e que o seu conteúdo não está cifrado — sendo que a informação confidencial ou sensível deve ser reservada para salas privadas.
O que o agente de ameaça reivindica ter obtido
Um ator de ameaça reivindicou publicamente a responsabilidade pelo incidente, afirmando ter acedido à plataforma por via de engenharia social aplicada a um utilizador do segmento de educação da instância (matrix.agent.education.tchap.gouv.fr). Segundo as suas declarações — não confirmadas na totalidade pela DINUM — o ataque terá permitido aceder a:
- Informação de cerca de 73.467 contas, incluindo endereços de e-mail, afiliação organizacional, metadados de dispositivos e ligações de reuniões
- Cerca de 650.000 mensagens raspadas de salas públicas
- Mais de 13,5 GB de ficheiros e conteúdos multimédia partilhados por funcionários públicos
- Credenciais LDAP alegadamente expostas num script PowerShell partilhado por um diretor regional de uma autoridade tributária
O agente afirma ainda que qualquer ficheiro partilhado no Tchap pode ser descarregado sem necessidade de autenticação adicional a partir do URL do conteúdo. A DINUM não respondeu publicamente a esta componente específica das alegações.
Porque é que isto importa
Este incidente expõe um ponto de vulnerabilidade que afeta qualquer plataforma de comunicação segura: a robustez técnica da infraestrutura não é suficiente se os utilizadores puderem ser comprometidos por engenharia social. A conta que serviu de ponto de entrada não foi aparentemente vítima de uma falha técnica do Tchap — foi manipulada por meios humanos, o vetor de ataque mais difícil de mitigar exclusivamente por meios tecnológicos.
O episódio é igualmente relevante do ponto de vista regulatório europeu. No contexto do Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025), que transpõe a Diretiva NIS2 para o ordenamento jurídico português, as entidades públicas e os operadores de serviços essenciais estão obrigados a implementar medidas de segurança robustas nas comunicações internas e a reportar incidentes à autoridade competente. O caso do Tchap ilustra que nem mesmo plataformas concebidas exclusivamente para o setor governamental estão imunes a comprometimentos por via humana.
Para as organizações portuguesas que utilizam ou avaliam plataformas de mensagens seguras — incluindo soluções baseadas no protocolo Matrix —, o caso reforça a necessidade de conjugar tecnologia de cifra com formação em segurança, autenticação multifator e monitorização ativa de comportamentos anómalos nas contas.
Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela DINUM, pela ANSSI e pelo BleepingComputer.