Aplikasi Pesan Pemerintah Prancis ‘Tchap’ Dibobol, Data 73 Ribu Pegawai Publik Terekspos

Direktorat Urusan Digital Pemerintah Prancis (DINUM) resmi mengonfirmasi adanya insiden kebocoran data yang melanda Tchap, platform aplikasi pesan instan terenkripsi khusus untuk pegawai negeri dan sektor publik di Prancis. Investigasi awal menunjukkan bahwa serangan ini berdampak pada 73.467 agen pemerintah, atau sekitar 9% dari total 825.000 pengguna yang terdaftar di platform tersebut.

Serangan ini pertama kali dideteksi pada 7 Juni 2026 oleh Badan Keamanan Siber Nasional Prancis (ANSSI). Uniknya, pembobolan ini bukan disebabkan oleh jebolnya sistem enkripsi atau infrastruktur server Tchap, melainkan murni akibat pengambilalihan satu akun pengguna sah (account hijacking) milik staf di sektor pendidikan melalui teknik rekayasa sosial (social engineering).

Enkripsi Obrolan Privat Aman, Ruang Publik Jadi Celah

DINUM menegaskan bahwa arsitektur keamanan Tchap yang berbasis protokol desentralisasi Matrix berhasil melindungi ruang obrolan pribadi. Karena obrolan privat dilindungi oleh enkripsi ujung-ke-ujung (end-to-end encryption), pelaku tidak dapat mengintip isi pesan maupun riwayat obrolan privat antar-personel.

Namun, celah eksploitasi terjadi pada ruang obrolan publik (public chat rooms). Berdasarkan cetak cetak desainnya, ruang publik di Tchap dibuat terbuka untuk seluruh agen yang terautentikasi dan tidak dienkripsi. Menggunakan akun yang berhasil dibajak, peretas melakukan pemindaian massal (scraping) dan mengunduh seluruh informasi di ruang publik tersebut, meliputi:

• Nama depan dan nama belakang pegawai.
• Alamat email resmi kedinasan.
• Nama instansi/kementerian tempat mereka bekerja.
• Gambar avatar profil pengguna.

Klaim Fantastis Peretas di Forum Black Hat

Meskipun pemerintah Prancis berusaha meredam dampak dengan menyatakan kebocoran hanya terjadi di ruang publik, aktor ancaman menggunakan nama samaran “Misère” merilis klaim yang jauh lebih mengkhawatirkan di dark web.

Peretas mengeklaim telah berhasil menguras data sensitif berkapasitas total 13,5 GB dari kluster edukasi (matrix.agent.education.tchap.gouv.fr), yang mencakup rincian berikut:

Lebih jauh lagi, pelaku juga mengklaim menemukan kredensial LDAP yang tertanam keras (hardcoded) yang bocor akibat kecerobohan seorang direktur regional otoritas pajak Prancis yang membagikan skrip PowerShell di ruang obrolan. Pelaku juga menyebutkan adanya sekitar 90 dokumen bertanda khusus “Diffusion Restreinte” (dokumen dengan distribusi terbatas/rahasia internal pemerintah Prancis).

Dampak Politik dan Langkah Hukum Prancis

Tchap diluncurkan oleh DINUM dan ANSSI pada tahun 2018 sebagai bagian dari proyek kedaulatan teknologi Prancis agar para pegawai negeri sipil mereka tidak bergantung pada aplikasi asing seperti WhatsApp, Telegram, atau Slack. Aplikasi ini bahkan baru saja ditetapkan sebagai aplikasi komunikasi kerja wajib bagi seluruh aparatur sipil negara pada Agustus 2025 lalu.

Menyusul insiden memalukan ini, pemerintah Prancis telah mengambil langkah-langkah darurat berikut:

1. Pemblokiran Instan: Akun terkompromi yang digunakan untuk melakukan penyerangan langsung diisolasi dan diblokir total guna memutus akses persisten peretas.
2. Pelaporan ke Regulator: DINUM telah melaporkan kasus kebocoran data massal pegawai ini kepada otoritas perlindungan data Prancis (CNIL).
3. Edukasi Pengguna: Mengirimkan peringatan keras kepada seluruh pengguna Tchap agar mematuhi aturan platform dan dilarang keras membagikan informasi rahasia, data sensitif, maupun kredensial di dalam ruang obrolan publik.

Rentetan serangan terhadap institusi Prancis ini kian menambah panjang daftar hitam keamanan siber mereka. Pada Mei 2026 kemarin, kepolisian Prancis juga baru saja menangkap seorang remaja berusia 15 tahun yang nekat menjual data curian dari ANTS—lembaga negara Prancis yang bertanggung jawab mengelola dokumen identitas resmi penduduk.

Sumber: DINUM Official Incident Notice & ANSSI Cyber Threat Intelligence Report