Partiellement vrai

Note : 5.5/10

Signaler un problème
Coalition
C0050

L'affirmation

“N'a pas mentionné dans la politique de confidentialité de l'application COVIDSafe que des informations sur le modèle de téléphone et le nom de l'appareil (par exemple « iPhone de Marie ») sont diffusées via Bluetooth. Un exemple d'exploitation de cette vulnérabilité est qu'un agresseur de violences conjugales peut savoir si la victime est chez elle et que ses colocataires ne le sont pas, sans mettre les pieds dans l'immeuble.”
COVID Cybersécurité Sécurité
Source originale : Matthew Davis
Analysé : 29 Jan 2026

Sources originales

VÉRIFICATION FACTUELLE

L'allégation principale contient plusieurs éléments techniques et factuels qui nécessitent une vérification minutieuse :
The core claim contains multiple technical and factual elements that require careful verification:
 ### Ce que montrent réellement les documents CVE
### What the CVE Documentation Actually Shows
 Il existe une véritable vulnérabilité Bluetooth dans COVIDSafe (Android v1.0.17 et antérieures), documentée sous les références **CVE-2020-12860** et **CVE-2020-12856** [1][2].
There IS a genuine Bluetooth vulnerability in COVIDSafe (Android v1.0.17 and earlier), documented as **CVE-2020-12860** and **CVE-2020-12856** [1][2].
 Cependant, la caractérisation faite dans l'allégation concernant les informations exposées est partiellement exacte mais nécessite un contexte important.
However, the claim's characterization of what information is exposed is partially accurate but requires important context.
 Selon la documentation technique du CVE-2020-12860, COVIDSafe jusqu'à la v1.0.17 « permet à un attaquant distant d'accéder au nom et au modèle du téléphone car un appareil BLE peut avoir quatre rôles et COVIDSafe utilise tous ces rôles » [1].
According to the CVE-2020-12860 technical documentation, COVIDSafe through v1.0.17 "allows a remote attacker to access phone name and model information because a BLE device can have four roles and COVIDSafe uses all of them" [1].
 Cela permet une « réidentification d'un appareil, et potentiellement l'identification du nom du propriétaire » [1].
This allows for "re-identification of a device, and potentially identification of the owner's name" [1].
 Une vulnérabilité distincte, le CVE-2020-12856, découverte par les chercheurs Jim Mussared et Alwen Tiu, décrit un « problème d'appairage silencieux » « le processus d'appairage implique des échanges d'identifiants permanents du téléphone victime : l'adresse d'identité du périphérique Bluetooth du téléphone et une clé cryptographique appelée Identity Resolving Key (IRK) » [3].
A separate vulnerability, CVE-2020-12856, discovered by researchers Jim Mussared and Alwen Tiu, describes a "silent pairing issue" where "the bonding process involves exchanges of permanent identifiers of the victim phone: the identity address of the bluetooth device in the phone and a cryptographic key called Identity Resolving Key (IRK)" [3].
 L'un ou l'autre identifiant peut être utilisé pour un « suivi à long terme du téléphone » [3].
Either identifier can be used for "long term tracking of the phone" [3].
 ### Diffusion du nom de l'appareil - Précision nécessaire
### Device Name Broadcasting - Clarification Needed
 Un détail critique : selon un fil Twitter du chercheur en sécurité Matthew Rocklin (@matthewrdev), « l'application *ne diffuse pas* le nom de l'appareil » dans le fonctionnement standard de l'application [4].
A critical detail: According to a Twitter thread by security researcher Matthew Rocklin (@matthewrdev), "the app *does not* broadcast the device name" in the standard operation of the app [4].
 Au lieu de cela, « lorsqu'un autre téléphone vous détecte, vous êtes identifié à l'aide d'une adresse Bluetooth et non d'un nom d'appareil » [4].
Instead, "when another phone detects you, you are identified using a Bluetooth address and not a device name" [4].
 Cependant, la vulnérabilité CVE-2020-12860 permet aux attaquants d'extraire les informations sur le modèle ET le nom de l'appareil via une mauvaise utilisation des rôles BLE, ce qui signifie que le nom de l'appareil EST accessible par l'exploitation de cette vulnérabilité, même s'il n'est pas diffusé en fonctionnement normal [1][2].
However, the CVE-2020-12860 vulnerability allows attackers to extract phone model AND device name information through BLE role misuse, meaning the device name IS accessible through exploitation of this vulnerability, even if not broadcast in normal operation [1][2].
 ### Divulgation dans la politique de confidentialité
### Privacy Policy Disclosure
 Concernant l'allégation selon laquelle cela n'était pas mentionné dans la politique de confidentialité : la recherche universitaire de la QUT sur l'implémentation de COVIDSafe a révélé que le gouvernement avait fourni une Évaluation d'Impact sur la Vie Privée se concentrant sur la collecte de données Bluetooth [5].
Regarding the claim that this wasn't mentioned in the privacy policy: The QUT academic research on COVIDSafe implementation found that the government provided a Privacy Impact Assessment focusing on Bluetooth data collection [5].
 Cependant, les spécificités des informations pouvant être extraites via les vulnérabilités BLE peuvent ne pas avoir été explicitement détaillées dans la documentation de la politique de confidentialité destinée aux consommateurs [5].
However, the specifics of what information could be extracted through BLE vulnerabilities may not have been explicitly detailed in consumer-facing privacy policy documentation [5].
 La politique de confidentialité notait qu'un « scan Bluetooth peut être utilisé pour rassembler des informations sur la localisation de l'utilisateur » [6], mais peut ne pas avoir détaillé la vulnérabilité spécifique de l'extraction du nom/modèle de l'appareil [5].
The privacy policy did note that "a Bluetooth scan can be used to gather information about the location of the user" [6], but may not have detailed the specific vulnerability of device name/model extraction [5].

Contexte manquant

### Chronologie et état des correctifs
### Timeline and Patch Status
 La vulnérabilité a été signalée au DTA (Department of Home Affairs) le 5 mai 2020 et a été **corrigée dans COVIDSafe (Android) v1.0.18** [3].
The vulnerability was reported to DTA (Department of Home Affairs) on May 5, 2020, and **was fixed in COVIDSafe (Android) v1.0.18** [3].
 L'application a été déployée le 26 avril 2020, ce qui signifie que cette vulnérabilité existait pendant environ 3 semaines avant que des correctifs ne soient disponibles [1][3].
The app was deployed April 26, 2020, meaning this vulnerability existed for approximately 3 weeks before patches were available [1][3].
 Le correctif a été implémenté rapidement après la découverte [3].
The fix was implemented promptly after discovery [3].
 ### Exploitation des violences conjugales - Théorique vs Prouvée
### Domestic Violence Exploitation - Theoretical vs Proven
 Bien que l'allégation présente un scénario « un agresseur de violences conjugales peut savoir si la victime est chez elle et que ses colocataires ne le sont pas », cela apparaît être une **vulnérabilité théorique plutôt qu'une exploitation documentée** [1][3].
While the claim presents a scenario where "a domestic violence abuser can tell whether the victim is at home and their house-mates are not," this appears to be a **theoretical vulnerability rather than documented evidence of actual exploitation** [1][3].
 Les documents CVE discutent de la capacité technique pour un « suivi à long terme » via l'extraction d'identifiants BLE [3], mais il n'existe aucune preuve dans les divulgations de vulnérabilités publiées, la littérature universitaire ou les reportages médiatiques d'instances réelles cette vulnérabilité a été exploitée pour le suivi des violences conjugales [2][3].
The CVE documents discuss the technical capability for "long term tracking" through BLE identifier extraction [3], but there is no evidence in the published vulnerability disclosures, academic literature, or media reporting of actual instances where this vulnerability was exploited for domestic violence tracking [2][3].
 Il s'agit d'une **préoccupation légitime en matière de sécurité** que les chercheurs ont identifiée et divulguée de manière responsable, mais la caractériser comme une méthode d'exploitation connue sans documentation à l'appui est une extrapolation au-delà de ce que les preuves montrent.
This is a **legitimate security concern** that researchers identified and responsibly disclosed, but characterizing it as a known exploitation method without documented instances is an extrapolation beyond what the evidence shows.
 ### Précision technique du terme « diffusion »
### Technical Accuracy of "Broadcasting"
 L'allégation utilise le mot « diffusion » qui est techniquement imprécis.
The claim uses the word "broadcast" which is technically imprecise.
 Les noms d'appareils ne sont pas diffusés en continu dans le fonctionnement normal de COVIDSafe.
Device names are not continuously broadcast in COVIDSafe's normal operation.
 Plutôt, ils sont exposés via des vulnérabilités techniques BLE (mauvaise utilisation des rôles) qui permettent aux attaquants d'extraire ces informations de la pile Bluetooth de l'appareil [1][2].
Rather, they are exposed through BLE technical vulnerabilities (role misuse) that allow attackers to extract this information from the device's Bluetooth stack [1][2].
 C'est une distinction significative car elle affecte la modélisation des menaces un attaquant devrait mener une exploitation technique active, pas simplement être à portée Bluetooth [3].
This is a meaningful distinction because it affects threat modeling—an attacker would need to actively conduct a technical exploit, not merely be in Bluetooth range [3].

Évaluation de la crédibilité de la source

La source originale est un **Google Doc** sans auteur identifié, affiliation institutionnelle ou références de publication listées dans le fichier de l'allégation [7].
The original source is a **Google Doc** with no identified author, institutional affiliation, or publication credentials listed in the claim file [7].
 Sans accès au document complet, l'évaluation de sa crédibilité est limitée.
Without access to view the full document, assessing its credibility is limited.
 Cependant, l'allégation référence des vulnérabilités de sécurité légitimes (CVE-2020-12860 et CVE-2020-12856) qui sont bien documentées dans des sources officielles.
However, the claim does reference legitimate security vulnerabilities (CVE-2020-12860 and CVE-2020-12856) that are well-documented in official sources.
 Les divulgations CVE sous-jacentes et la recherche universitaire proviennent de sources crédibles : - **CVE-2020-12860** : Publié par MITRE/NVD (National Vulnerability Database), suivi officiel des vulnérabilités [1] - **CVE-2020-12856** : Découvert et divulgué par Jim Mussared (George Robotics) et Alwen Tiu (ANU), publié sur GitHub avec documentation technique [3] - **Recherche universitaire QUT** : Article évalué par des pairs sur l'implémentation de COVIDSafe de la Queensland University of Technology [5] Ces sources sont des divulgations techniques crédibles, non des sources partisanes.
The underlying CVE disclosures and academic research are from credible sources: - **CVE-2020-12860**: Published by MITRE/NVD (National Vulnerability Database), official vulnerability tracking [1] - **CVE-2020-12856**: Discovered and disclosed by Jim Mussared (George Robotics) and Alwen Tiu (ANU), published on GitHub with technical documentation [3] - **QUT Academic Research**: Peer-reviewed article on COVIDSafe implementation from Queensland University of Technology [5] These sources are credible technical disclosures, not partisan sources.
⚖️

Comparaison avec Labor

**Le parti travailliste a-t-il eu des échecs équivalents en matière de confidentialité technologique ?** Recherche effectuée : « échecs de confidentialité technologique du gouvernement travailliste traçage des contacts » L'implication du parti travailliste avec la technologie de traçage des contacts était limitée pendant cette période, car le gouvernement de la Coalition était au pouvoir (2013-2022) et a développé COVIDSafe.
**Did Labor have equivalent technology privacy failures?** Search conducted: "Labor government technology privacy failures contact tracing" Labor's involvement with contact tracing technology was limited during this period, as the Coalition government held power (2013-2022) and developed COVIDSafe.
 Le parti travailliste était dans l'opposition et n'a pas développé d'alternative à l'application de traçage [8].
Labor was in opposition and did not develop an alternative contact tracing app [8].
 Cependant, des préoccupations plus larges sur la confidentialité technologique existaient pour les deux partis : - Les gouvernements travailliste et de la Coalition ont fait face à des critiques pour des protections de confidentialité inadéquates dans les services numériques gouvernementaux [8] - Les efforts de réforme de la confidentialité en Australie ont été des questions multipartites, avec des préoccupations soulevées sur les pratiques de traitement des données gouvernementales généralement, non spécifiques à un parti [8] - Les problèmes de cadre de confidentialité plus larges qui ont nécessité une législation COVIDSafe spéciale sont systémiques au régime fragmenté de lois sur la confidentialité de l'Australie, non uniques à l'implémentation de la Coalition [5] En essence, il n'y a pas d'équivalent direct du parti travailliste car le parti travailliste n'était pas au gouvernement pendant la pandémie de COVID-19 et n'a pas développé d'applications de traçage des contacts.
However, broader technology privacy concerns existed across both parties: - Both Labor and Coalition governments have faced criticism for inadequate privacy protections in digital government services [8] - Privacy reform efforts in Australia have been cross-party issues, with concerns raised about government data handling practices generally, not specific to one party [8] - The broader privacy framework issues that necessitated special COVIDSafe legislation are systemic to Australia's fragmented privacy law regime, not unique to Coalition implementation [5] In essence, there is no direct Labor equivalent because Labor was not in government during the COVID-19 pandemic and did not develop contact tracing apps.
🌐

Perspective équilibrée

### La vulnérabilité technique légitime
### The Legitimate Technical Vulnerability
 L'allégation est **correcte qu'une véritable vulnérabilité technique existait** dans COVIDSafe qui pourrait théoriquement exposer les informations sur le modèle et le nom de l'appareil, et que ces informations pourraient potentiellement être utilisées pour suivre la localisation/présence de quelqu'un [1][3].
The claim is **correct that a genuine technical vulnerability existed** in COVIDSafe that could theoretically expose device model and name information, and that this information could potentially be used to track someone's location/presence [1][3].
 La vulnérabilité était réelle, documentée par des chercheurs crédibles en sécurité, et divulguée de manière responsable [3].
The vulnerability was real, documented by credible security researchers, and responsibly disclosed [3].
 ### La réponse du gouvernement
### The Government's Response
 Positivement, le gouvernement australien a agi sur la divulgation en publiant un correctif (v1.0.18) dans environ 3 semaines après avoir été notifié [3].
Positively, the Australian Government acted on the disclosure by releasing a patch (v1.0.18) within approximately 3 weeks of being notified [3].
 L'application incluait également des protections de confidentialité supplémentaires comparées à des applications similaires comme TraceTogether de Singapour, incluant des sanctions pénales pour utilisation non autorisée des données [5].
The app also included additional privacy protections compared to comparable apps like Singapore's TraceTogether, including criminal penalties for unauthorized data use [5].
 ### Allégations exagérées sur l'exploitation pratique
### Overstated Claims About Practical Exploitation
 Le passage de « une vulnérabilité technique existe qui pourrait théoriquement exposer les informations de l'appareil » à « les agresseurs de violences conjugales peuvent exploiter ceci » n'est pas soutenu par des preuves.
The leap from "a technical vulnerability exists that theoretically could expose device information" to "domestic violence abusers can exploit this" is not supported by evidence.
 Bien que le risque théorique soit valide pour les avis de sécurité, affirmer une exploitation documentée sans preuve est trompeur [1][3][7].
While the theoretical risk is valid for security advisories, claiming documented exploitation without evidence is misleading [1][3][7].
 ### Problème de divulgation de la politique de confidentialité
### Privacy Policy and Disclosure Issue
 L'allégation concernant la divulgation de la politique de confidentialité est partiellement valide.
The claim about privacy policy disclosure is partially valid.
 Le gouvernement peut ne pas avoir détaillé explicitement les risques de vulnérabilité BLE aux utilisateurs généraux, bien que les professionnels de la confidentialité s'attendraient à ce que ces risques fassent partie de la modélisation des menaces de sécurité [5].
The government may not have explicitly detailed BLE vulnerability risks to general users, though privacy professionals would expect such risks to be part of security threat modeling [5].
 La politique de confidentialité divulguait la collecte de données Bluetooth, mais les spécificités des attaques BLE potentielles peuvent ne pas avoir été communiquées aux consommateurs [5][6].
The privacy policy did disclose Bluetooth data collection, but specifics of potential BLE attacks may not have been consumer-facing [5][6].
 ### Évaluation de l'impact réel
### Actual Impact Assessment
 Étant donné que : - La vulnérabilité a été corrigée relativement rapidement (dans environ 3 semaines) [3] - L'application est restée volontaire et a eu une faible adoption (n'a jamais atteint les objectifs gouvernementaux) [5] - L'exploitation nécessiterait une sophistication technique au-delà de la surveillance occasionnelle [3] - Aucun cas documenté d'exploitation pour violences conjugales n'existe [1][3] Le **préjudice pratique réel apparaît limité** comparé à la sévérité que l'allégation implique.
Given that: - The vulnerability was patched relatively quickly (within ~3 weeks) [3] - The app remained voluntary and had low uptake (never reached government targets) [5] - The exploitation would require technical sophistication beyond casual surveillance [3] - No documented cases of exploitation for domestic violence exist [1][3] The **actual practical harm appears limited** compared to the severity the claim implies.

PARTIELLEMENT VRAI

5.5

sur 10

L'allégation est correcte en ce que : (1) une véritable vulnérabilité technique existait permettant l'extraction du nom/modèle de l'appareil, et (2) ces informations pourraient théoriquement être utilisées pour suivre la présence.
The claim is correct that: (1) a genuine technical vulnerability existed allowing device model/name extraction, and (2) this information could theoretically be used to track presence.
 Cependant, l'allégation est trompeuse en : (1) caractérisant une vulnérabilité théorique comme une exploitation documentée pour violences conjugales, (2) utilisant « diffusion » de manière imprécise, et (3) omettant que la vulnérabilité a été rapidement corrigée et divulguée de manière responsable.
However, the claim is misleading in: (1) characterizing theoretical vulnerability as documented exploitation for domestic violence, (2) using "broadcast" imprecisely, and (3) omitting that the vulnerability was patched quickly and responsibly disclosed.
 L'allégation présente la capacité technique du pire cas comme si c'était un scénario de menace réel avec exploitation documentée.
The claim presents worst-case technical capability as if it were an actual threat scenario with documented exploitation.

📚 SOURCES ET CITATIONS (8)

  1. 1
    cvedetails.com

    cvedetails.com

    Cvedetails

  2. 2
    nvd.nist.gov

    nvd.nist.gov

    CVE-2020-12860

  3. 3
    github.com

    github.com

    A bluetooth-related vulnerability in some contact tracing apps - alwentiu/COVIDSafe-CVE-2020-12856

    GitHub
  4. 4
    threadreaderapp.com

    threadreaderapp.com

    Thread by @matthewrdev: The #covidsafe app is now available in Australia However, it's a shame that they have decided not to release the sourr full transparency. Luckily, I'm a curious chap and also a professional mobile developer. So, I've downloaded an…

    Threadreaderapp
  5. 5
    lthj.qut.edu.au

    lthj.qut.edu.au

    Lthj Qut Edu

  6. 6
    reddit.com

    reddit.com

    The heart of the internet
  7. 7
    docs.google.com

    docs.google.com

    Privacy issues discovered in the BLE implementation of the COVIDSafe Android app Jim Mussared jim.mussared@gmail.com https://twitter.com/jim_mussared 28/04/2020 Last updated: 15/05/2020 Status: Public. Updates ongoing. Privacy issues discovered in the BLE implementation of the COVIDSafe Andr...

    Google Docs
  8. 8
    ashurst.com

    ashurst.com

    Australia's first tranche of privacy reforms – a deep dive and why they matter

    Ashurst

Méthodologie de l'échelle de notation

1-3: FAUX

Factuellement incorrect ou fabrication malveillante.

4-6: PARTIEL

Une part de vérité mais le contexte manque ou est biaisé.

7-9: MAJORITAIREMENT VRAI

Détails techniques mineurs ou problèmes de formulation.

10: EXACT

Parfaitement vérifié et contextuellement équitable.

Méthodologie: Les notations sont déterminées par recoupement des documents gouvernementaux officiels, des organisations indépendantes de vérification des faits et des documents sources primaires.

Previous: C0049 Next: C0051