A França construiu um mensageiro soberano para substituir WhatsApp e Telegram no serviço público. Servidores nacionais, protocolo de código aberto, criptografia de ponta a ponta, agência de cibersegurança co-desenvolvendo. Em setembro de 2025, tornou-se obrigatório para todos os funcionários públicos. Um ano depois, uma conta comprometida via engenharia social expôs dados de 73.467 agentes. Soberania de infraestrutura não substitui segurança de credenciais.
O que aconteceu
Em 7 de junho de 2026, foi detectado o comprometimento de uma conta de usuário no Tchap. Não foi uma vulnerabilidade de servidor. Não foi quebra de criptografia. Foi comprometimento de conta — o atacante obteve acesso a credenciais legítimas via engenharia social.
Em 8 de junho, a DINUM publicou comunicado. Em 9 e 10 de junho, o promotor de Paris abriu inquérito e a DINUM registrou queixa. A conta foi identificada e bloqueada.
O que o governo confirma como exposto: nome, e-mail, entidade organizacional e avatar dos 73.467 agentes afetados — menos de 9% dos 825 mil inscritos e 300 mil usuários ativos mensais, segundo a DINUM. Salas públicas, não criptografadas por design, foram acessíveis. A DINUM afirma que o histórico de conversas privadas criptografadas não foi acessível mesmo com a conta comprometida.
O que o atacante alega — e nenhuma dessas alegações foi verificada independentemente pela DINUM: aproximadamente 643 mil mensagens raspadas, 876 salas acessadas, 59 mil arquivos de mídia totalizando 13,5 GB, 90 ocorrências de classificação "Diffusion Restreinte" em salas públicas, credenciais LDAP hardcoded em script PowerShell e arquivos de mídia baixáveis sem token de autenticação.
A separação entre fatos confirmados e alegações não verificadas é fundamental. O governo francês confirmou exposição de dados de diretório e acesso a salas públicas. O resto permanece alegação.
Salas públicas não criptografadas: não é bug, é arquitetura
O Tchap tem salas públicas que não são criptografadas por design. Isso não é uma vulnerabilidade — é uma decisão arquitetural. Mas funcionários públicos compartilharam informação sensível nessas salas, contra a política oficial. Segundo o atacante, 90 ocorrências de classificação "Diffusion Restreinte" apareceram em salas públicas — alegação não verificada pela DINUM.
A DINUM atribui a responsabilidade aos usuários. O problema: em um mensageiro governamental, a arquitetura deve impedir que o erro humano vire incidente de segurança. Se a informação é sensível o suficiente para estar na plataforma, deveria ser sensível o suficiente para ser criptografada por padrão. Deixar salas públicas não criptografadas e depois culpar o usuário por compartilhar informação sensível nelas é transferir para o usuário uma decisão que deveria ser técnica.
Uma conta comprometida, 73 mil afetados
O Tchap usa arquitetura federada por shard — cada ministério roda seu homeserver. A conta comprometida estava no shard da Educação. Se a alegação do atacante proceder, a função de busca do diretório teria permitido enumerar usuários entre ministérios.
Esse é o ponto crítico: os shards deveriam ser isolados. Se não são, a federação é o vetor de expansão. Uma conta comprometida no Ministério da Educação não deveria permitir descobrir usuários do Ministério da Defesa ou da Fazenda. A federação, que é a força do protocolo Matrix, torna-se o vetor de amplificação quando os controles de acesso entre shards são insuficientes.
Soberania de infraestrutura não substitui segurança
A França fez tudo "certo" segundo o playbook de soberania digital: servidores nacionais, protocolo de código aberto, criptografia de ponta a ponta via Olm/Megolm, agência nacional de cibersegurança co-desenvolvendo, hospedagem localmente. E ainda assim, uma conta comprometida via engenharia social expôs dados de 73 mil agentes públicos.
Soberania de infraestrutura protege contra jurisdição estrangeira, interceptação de tráfego por serviços de inteligência e dependência de fornecedores internacionais. Não protege contra um funcionário que clica em um link de phishing. Não protege contra credenciais reutilizadas. Não protege contra engenharia social.
São camadas diferentes. Soberania é sobre onde os dados residem e quem tem jurisdição. Segurança é sobre como os dados são protegidos contra ameaças. Confundir as duas é um dos erros mais caros que uma estratégia de cibersegurança pode cometer.
Este não é o primeiro incidente. O governo francês teve um ataque aos servidores de email do Ministério do Interior em dezembro de 2025 e um breach no portal da ANTS em abril de 2026. Este é o terceiro incidente governamental em 6 meses — e o primeiro no Tchap. O padrão é claro: o vetor recorrente é comprometimento de credenciais, não vulnerabilidade de infraestrutura.
O que isso significa para empresas brasileiras
No Brasil, a discussão sobre soberania de dados ganhou força com a LGPD e o Marco Civil da Internet. Mas o caso Tchap mostra que hospedar dados nacionalmente é condição necessária, não suficiente. A cadeia de segurança não é tão forte quanto o elo mais forte — é tão forte quanto o elo mais fraco. E o elo mais fraco, repetidamente, é o usuário.
Na Tech86, ajudamos empresas a implementar conscientização em segurança que vai além de compliance — simulamos ataques de engenharia social, treinamos equipes a reconhecer vetores de comprometimento de credenciais e construímos cultura de segurança como prática contínua. Porque quando a conta é comprometida, a soberania do servidor não vai salvar você.