法国推政府机关专用传讯程序 却漏洞摆出

法国为了加强政府机关之间的通讯安全，采用开源的端对端加密通讯协议Matrix打造了Tchap传讯程序，同时规定只有使用政府机关的电子邮件账号才能注册，并在4月17日于App Store及Google Play上释出了Tchap测试版，然而，法国的资安研究人员Baptiste Robert（网名Elliot Alderson‏）隔天就找到了Tchap的安全漏洞，成功注册了Tchap账号，渗透Tchap的群组聊天室。

Tchap项目的目的在于打造一个端对端加密的安全通讯平台，既有行动程序，也可自网页登入，所分享的附加档案需经防病毒软件扫描，而且存放在法国。该项目是由法国的国家数字讯息通讯部（DINSIC）主导，并在信息系统安全局（ANSSI）、军队部与外交部的通力合作下完成，打算作为法国所有政府机关的专用传讯程序，也会允许外部的合作单位加入，历经了数月以及数千名官员的内部测试，甫于日前释出了测试版。至于法国安全研究人员Baptiste Robert则是在隔天下载了Tchap，发现它必须要使用@ gouv.fr 或 @ elysee.fr等政府机构的邮件信箱才能注册，于是他搜寻了某个政府官员的电子邮件信箱，再加上自己的电子邮件信箱，如「fs0c131y @ protonmail.com @ presidence @ elysee.fr」然后就在自己的邮件信箱收到注册信了。内容来源： www.cafes.org.tw/info.asp 成功注册Tchap的Robert，还潜入了该平台上的多个公开聊天室。 尽管接到Robert通知的Matrix，很快就修补了该协议用来验证电子邮件地址的身分服务器Sydent，但已让法国政府脸上无光。法国政府则说将会持续改善Tchap测试版，也会听取外部专家的意见，而且已准备推出针对Tchap的抓漏奖励计划。