Vrai

Note : 7.0/10

Signaler un problème
Coalition
C0161

L'affirmation

“A choisi d'ignorer et de ne pas corriger une vulnérabilité de sécurité dans myGovID, survenue parce que le protocole d'authentification choisi est sur mesure et ne correspond pas aux pratiques standard.”
Cybersécurité Technologie
Source originale : Matthew Davis
Analysé : 29 Jan 2026

Sources originales

VÉRIFICATION FACTUELLE

### Vulnérabilité de sécurité myGovID - Attaque par relecture de code
### myGovID Security Vulnerability - Code Replay Attack
 L'affirmation fait référence à une véritable vulnérabilité de sécurité identifiée dans myGovID.
The claim references a real security vulnerability identified in myGovID.
 En août 2024, les chercheurs en sécurité Ben Frengley (Université de Melbourne) et Vanessa Teague (PDG de Thinking Cybersecurity, professeure adjointe à l'ANU) ont découvert une vulnérabilité critique dans le système d'authentification de myGovID [1].
In August 2024, security researchers Ben Frengley (University of Melbourne) and Vanessa Teague (CEO of Thinking Cybersecurity, ANU adjunct professor) discovered a critical vulnerability in myGovID's authentication system [1].
 La vulnérabilité est une **attaque par relecture de code** qui exploite une faille fondamentale de conception.
The vulnerability is a **code replay attack** that exploits a fundamental design flaw.
 Un attaquant peut créer un faux site Web et capturer l'adresse e-mail d'un utilisateur.
An attacker can set up a fake website and capture a user's email address.
 Lorsque l'attaquant initie l'authentification sur un portail gouvernemental légitime en utilisant l'e-mail de la victime, le portail affiche un code PIN à 4 chiffres.
When the attacker initiates authentication at a legitimate government portal using the victim's email, the portal displays a 4-digit PIN.
 L'attaquant relaie ce code PIN à la victime via le faux site, et lorsque la victime le saisit dans son application myGovID, elle accorde involontairement à l'attaquant un accès complet aux comptes gouvernementaux légitimes.
The attacker relays this PIN to the victim through the fake site, and when the victim enters it into their myGovID app, they unknowingly grant the attacker full access to legitimate government accounts.
 Une faiblesse critique de conception est que l'application myGovID **n'indique pas quelle organisation demande l'authentification** [2].
A critical design weakness is that the myGovID app provides **no indication of which organization is requesting authentication** [2].
 Les chercheurs ont signalé cette vulnérabilité à l'Australian Signals Directorate (ASD) le 19 août 2024 [3].
The researchers reported this vulnerability to the Australian Signals Directorate (ASD) on August 19, 2024 [3].
 Selon les meilleures pratiques de l'industrie, ils ont proposé une période de divulgation responsable de 90 jours pour permettre au gouvernement de développer et de mettre en œuvre un correctif avant la divulgation publique [1].
According to industry best practice, they proposed a 90-day responsible disclosure period to allow the government time to develop and implement a fix before public disclosure [1].
 ### Réponse du gouvernement : Refus de corriger
### Government's Response: Refusal to Fix
 Le 18 septembre 2024, l'Australian Taxation Office (ATO) a rencontré les chercheurs et a explicitement déclaré qu'il **« n'avait pas l'intention de modifier le protocole »** [3].
On September 18, 2024, the Australian Taxation Office (ATO) met with the researchers and explicitly stated it **"did not intend to change the protocol"** [3].
 Cela signifie que le gouvernement a refusé de remédier à la vulnérabilité.
This means the government declined to remediate the vulnerability.
 De plus, l'ATO a caractérisé la vulnérabilité comme étant « plus un problème de sensibilisation du public » plutôt qu'une faille technique nécessitant des modifications de protocole [3].
Additionally, the ATO characterized the vulnerability as "more of a public awareness issue" rather than a technical flaw requiring protocol changes [3].
 L'ATO a également publié des déclarations affirmant que myGovID était « plus sûr que n'importe quel identifiant », minimisant les préoccupations des chercheurs [4].
The ATO also issued statements claiming myGovID was "more secure than any credential," dismissing researcher concerns [4].
 Après que le gouvernement a refusé de corriger la vulnérabilité, les chercheurs sont allés publics le 21 septembre 2024 - publiant leurs découvertes malgré la période de divulgation responsable proposée [2].
After the government refused to fix the vulnerability, the researchers went public on September 21, 2024 - publishing their findings despite having proposed a responsible disclosure period [2].
 Les chercheurs en sécurité ont explicitement averti le public de ne pas utiliser myGovID jusqu'à ce que la faille de connexion soit corrigée [1].
The security researchers explicitly warned the public not to use myGovID until the login flaw was fixed [1].
 ### Preuves à l'appui du Médiateur
### Supporting Evidence from Ombudsman
 En août 2024, le Médiateur australien a publié le rapport « Keeping myGov Secure », qui a identifié plusieurs déficiences de sécurité dans les systèmes myGov/myGovID, notamment des normes incohérentes de preuve d'identité, des contrôles de sécurité limités pour le liage non autorisé de comptes, et des cas de fraudeurs redirigeant des paiements de pension et soumettant de fausses demandes de prestations [5].
In August 2024, the Australian Ombudsman published the "Keeping myGov Secure" report, which identified multiple security deficiencies in myGov/myGovID systems, including inconsistent proof-of-identity standards, limited security controls for unauthorized account linking, and instances of fraudsters redirecting pension payments and submitting false benefit claims [5].
 Services Australia a accepté ces recommandations fin juillet 2024 mais a reporté la mise en œuvre au début de 2025, indiquant qu'aucune action immédiate n'a été prise sur des questions de sécurité urgentes [5].
Services Australia agreed to these recommendations in late July 2024 but deferred implementation to early 2025, indicating no immediate action was taken on urgent security matters [5].

Contexte manquant

### 1. Le protocole d'authentification « sur mesure » est exact
### 1. The "Bespoke" Authentication Protocol is Accurate
 L'affirmation caractérise avec justesse le protocole d'authentification de myGovID comme non standard. myGovID utilise le **Trusted Digital Identity Framework (TDIF)**, qui est un système propriétaire et sur mesure spécifique à l'Australie - pas OpenID Connect, OAuth 2.0 ou d'autres normes internationalement reconnues [6].
The claim accurately characterizes myGovID's authentication protocol as non-standard. myGovID uses the **Trusted Digital Identity Framework (TDIF)**, which is a proprietary, bespoke system specific to Australia - not OpenID Connect, OAuth 2.0, or other internationally recognized standards [6].
 Les chercheurs en sécurité ont recommandé que le cadre TDIF soit abandonné et remplacé par des protocoles standard comme OpenID Connect [2].
Security researchers have recommended that the TDIF framework be deprecated and replaced with standard protocols like OpenID Connect [2].
 ### 2. Conception du protocole vs problèmes de mise en œuvre
### 2. Protocol Design vs. Implementation Issues
 Bien que la vulnérabilité existe, il y a une distinction technique à noter : la faille fondamentale semble découler de la conception du protocole (l'absence de contexte sur qui demande l'authentification dans l'application myGovID), pas nécessairement d'erreurs de mise en œuvre.
While the vulnerability exists, there is a technical distinction worth noting: the fundamental flaw appears to stem from the protocol's design (the lack of context about who is requesting authentication in the myGovID app), not necessarily implementation errors.
 Cependant, cette distinction ne diminue pas la validité de l'affirmation - une conception de protocole défectueuse reste une faille qui nécessite une correction.
However, this distinction does not diminish the validity of the claim - a flawed protocol design is still a flaw that requires fixing.
 ### 3. Chronologie et contexte
### 3. Timeline and Context
 La découverte de la vulnérabilité s'est produite tard dans le mandat du gouvernement de la Coalition.
The vulnerability discovery occurred late in the Coalition government's tenure.
 La Coalition a été votée hors du bureau en mai 2022.
The Coalition was voted out of office in May 2022.
 La vulnérabilité a été découverte en août 2024 par le gouvernement travailliste d'Albanese.
The vulnerability was discovered in August 2024 by the Albanese Labor government.
 Cela signifie que : - Le gouvernement de la Coalition (2013-2022) n'aurait pas pris la décision de septembre 2024 de refuser la remédiation - Le gouvernement actuel (travailliste) a hérité de myGovID et a pris la décision de ne pas changer le protocole [3] Cependant, l'affirmation peut faire référence à la décision originale du gouvernement de la Coalition de développer et de déployer myGovID en utilisant un protocole sur mesure et non standard plutôt que des normes industrielles établies - ce qui aurait été une décision prise pendant le mandat de la Coalition (2013-2022).
This means: - The Coalition government (2013-2022) would not have made the September 2024 decision to refuse remediation - The current (Labor) government inherited myGovID and made the decision not to change the protocol [3] However, the claim may be referring to the Coalition government's original decision to develop and deploy myGovID using a bespoke, non-standard protocol rather than established industry standards - which would have been a decision made during the Coalition's time in office (2013-2022).

Évaluation de la crédibilité de la source

### Source originale : Thinking Cybersecurity
### Original Source: Thinking Cybersecurity
 La source originale fournie (Thinking Cybersecurity) est une organisation dirigée par Vanessa Teague, l'une des chercheuses qui a découvert la vulnérabilité.
The original source provided (Thinking Cybersecurity) is an organization led by Vanessa Teague, one of the researchers who discovered the vulnerability.
 Cela crée une source directe sur la vulnérabilité elle-même.
This creates a direct source on the vulnerability itself.
 Vanessa Teague est : - Professeure adjointe à l'ANU et chercheuse en sécurité - Une voix académique crédible en cybersécurité - A publié des travaux évalués par des pairs sur la sécurité électorale et les systèmes numériques [7] Cependant, en tant que l'une des chercheuses rapportant sa propre découverte, il existe un biais inhérent en faveur de l'accent mis sur la gravité de la vulnérabilité.
Vanessa Teague is: - An ANU adjunct professor and security researcher - A credible academic voice in cybersecurity - Has published peer-reviewed work on electoral security and digital systems [7] However, as one of the researchers reporting on their own finding, there is inherent bias in favor of emphasizing the vulnerability's severity.
 ### Sources primaires sur cette question
### Primary Sources on This Issue
 Les sources les plus fiables sont : - **Médias d'information technologique** (iTnews, InnovationAus) : Journalisme technologique australien grand public couvrant la découverte de la vulnérabilité et la réponse du gouvernement [1][3] - **Sources gouvernementales** (rapport du Médiateur, déclarations de l'ATO) : Documentation officielle des préoccupations de sécurité et des positions gouvernementales [4][5] - **Recherche en sécurité** (Thinking Cybersecurity, documentation technique des chercheurs) : Analyse académique et professionnelle de la sécurité [2] L'affirmation est bien soutenue par le journalisme technologique grand public et les rapports gouvernementaux, pas principalement dépendante d'une seule source partisane.
The most reliable sources are: - **Technology news outlets** (iTnews, InnovationAus): Mainstream Australian tech journalism covering the vulnerability discovery and government response [1][3] - **Government sources** (Ombudsman report, ATO statements): Official documentation of security concerns and government positions [4][5] - **Security research** (Thinking Cybersecurity, researchers' technical documentation): Academic and professional security analysis [2] The claim is well-supported by mainstream technology journalism and government reports, not primarily dependent on a single partisan source.
⚖️

Comparaison avec Labor

### Le Parti travailliste a-t-il adopté des approches d'authentification sur mesure similaires ?
### Did Labor Adopt Similar Bespoke Authentication Approaches?
 Le Parti travailliste n'était pas au gouvernement lorsque myGovID a été développé (la Coalition a gouverné de 2013 à 2022).
Labor was not in government when myGovID was developed (Coalition governed 2013-2022).
 Le gouvernement travailliste a hérité du système myGovID lorsqu'il a pris ses fonctions en mai 2022. **Cependant**, la comparaison plus pertinente est : **Comment le Parti travailliste a-t-il répondu à la vulnérabilité découverte ?** Comme noté ci-dessus, la décision de « n'avoir pas l'intention de modifier le protocole » en septembre 2024 a été prise par l'**ATO du gouvernement travailliste**, pas la Coalition.
The Labor government inherited the myGovID system when they took office in May 2022. **However**, the more relevant comparison is: **How did Labor respond to the discovered vulnerability?** As noted above, the decision to "not intend to change the protocol" in September 2024 was made by the **Labor government's ATO**, not the Coalition.
 Cela indique que les deux gouvernements (la Coalition pour le développement original, le Parti travailliste pour la réponse à la vulnérabilité découverte) ont pris des décisions de cybersécurité discutables concernant myGovID.
This indicates both governments (Coalition for original development, Labor for response to the discovered vulnerability) made questionable cybersecurity decisions regarding myGovID.
 ### Approche du Parti travailliste sur l'identité numérique
### Labor's Approach to Digital Identity
 Le Parti travailliste a poursuivi le développement continu de myGovID (rebaptisé « myID » en novembre 2024) dans le cadre d'un programme d'identité numérique.
Labor has pursued continued development of myGovID (rebranded as "myID" in November 2024) under a digital identity scheme.
 Le Parti travailliste n'a pas abandonné le cadre TDIF sur mesure mais a plutôt continué à opérer dans celui-ci [8].
Labor has not abandoned the bespoke TDIF framework but instead continued operating within it [8].
 Cela suggère que le Parti travailliste peut porter une part de responsabilité pour ne pas avoir abordé la vulnérabilité architecturale une fois qu'elle a été découverte sous leur supervision.
This suggests Labor may bear some responsibility for not addressing the architectural vulnerability once it was discovered under their watch.
🌐

Perspective équilibrée

### La décision de conception de la Coalition (2013-2022)
### The Coalition's Design Decision (2013-2022)
 Lorsque le gouvernement de la Coalition a décidé de développer myGovID en utilisant un protocole d'authentification propriétaire et sur mesure (TDIF) plutôt que d'adopter des protocoles internationalement standardisés comme OpenID Connect, cela représentait une décision architecturale discutable.
When the Coalition government decided to develop myGovID using a proprietary, bespoke authentication protocol (TDIF) rather than adopting internationally standard protocols like OpenID Connect, this represented a questionable architectural decision.
 Les raisons de ce choix étaient probablement : - Désir d'une solution unique à l'australienne adaptée aux besoins gouvernementaux spécifiques - Préoccupations potentielles de souveraineté nationale (ne pas dépendre de normes internationales) - Contrôle perçu sur la sécurité et les opérations du système Cependant, les experts en sécurité soutiennent que les systèmes d'authentification sur mesure sont intrinsèquement plus risqués car ils : - Ont une revue de sécurité externe limitée comparée aux normes largement utilisées - Ne bénéficient pas des années de découverte et de correction de vulnérabilités par la communauté - Augmentent les chances de failles de conception comme celle découverte en 2024 [2] **La pratique de sécurité standard est d'utiliser des protocoles éprouvés et largement audités à moins qu'il n'y ait une raison impérieuse de ne pas le faire.**
The reasons for this choice were likely: - Desire for a uniquely Australian solution tailored to specific government needs - Potential national sovereignty concerns (not relying on international standards) - Perceived control over the system's security and operations However, security experts argue that bespoke authentication systems are inherently riskier because they: - Have limited external security review compared to widely-used standards - Don't benefit from years of community vulnerability discovery and patching - Increase the chance of design flaws like the one discovered in 2024 [2] **Standard security practice is to use proven, widely-audited protocols unless there is a compelling reason not to.**
 ### La réponse du gouvernement à la vulnérabilité découverte
### The Government's Response to the Discovered Vulnerability
 Plus problématique que le choix de conception original était la réponse lorsque la vulnérabilité a été découverte : **Pendant le gouvernement de la Coalition (2013-2022) :** - La Coalition aurait déployé et exploité myGovID mais la vulnérabilité n'a été découverte qu'en 2024 (après leur perte du pouvoir) **Pendant le gouvernement travailliste partir de septembre 2024) :** - L'ATO a explicitement refusé de corriger la vulnérabilité connue, déclarant qu'il « n'avait pas l'intention de modifier le protocole » - Le gouvernement l'a minimisée comme un « problème de sensibilisation du public » plutôt qu'une faille technique de conception - Aucun calendrier ou plan de remédiation n'a été annoncé - Le système a continué à fonctionner avec la vulnérabilité connue
More problematic than the original design choice was the response when the vulnerability was discovered: **During Coalition government (2013-2022):** - The Coalition would have deployed and operated myGovID but the vulnerability wasn't discovered until 2024 (after their loss of office) **During Labor government (September 2024 onward):** - The ATO explicitly refused to fix the known vulnerability, stating they "did not intend to change the protocol" - The government dismissed it as a "public awareness issue" rather than a technical design flaw - No remediation timeline or plan was announced - The system continued to operate with the known vulnerability
 ### Perspectives d'experts et institutionnelles
### Expert and Institutional Perspectives
 Le rapport du Médiateur confirme que la sécurité de myGov/myGovID est inadéquate, le gouvernement n'acceptant d'aborder les déficiences qu'en 2025 [5].
The Ombudsman's report reinforces that myGov/myGovID security is inadequate, with the government only agreeing to address deficiencies in 2025 [5].
 Le calendrier suggère que c'était une gouvernance de sécurité réactive plutôt que proactive.
The timing suggests this was reactive rather than proactive security governance.
 ### Pratique gouvernementale comparative
### Comparative Government Practice
 Ignorer les vulnérabilités de sécurité connues dans les systèmes d'authentification n'est pas une pratique standard parmi les gouvernements responsables.
Ignoring known security vulnerabilities in authentication systems is not standard practice across responsible governments.
 L'approche industrielle standard est : 1.
The standard industry approach is: 1.
 Reconnaître la vulnérabilité 2.
Acknowledge the vulnerability 2.
 Développer un plan de remédiation 3.
Develop a remediation plan 3.
 Mettre en œuvre le correctif dans un délai raisonnable 4.
Implement the fix within a reasonable timeframe 4.
 Communiquer publiquement la résolution La réponse du gouvernement australien (refus de corriger la faille de conception du protocole) ne répond pas à ces normes. **Contexte clé :** Ni la Coalition ni le Parti travailliste n'ont démontré une gouvernance de cybersécurité forte concernant myGovID.
Publicly communicate the resolution The Australian government's response (refusing to fix the protocol design flaw) falls short of these standards. **Key context:** Neither the Coalition nor Labor has demonstrated strong cybersecurity governance regarding myGovID.
 La Coalition a créé un système utilisant des protocoles non standard, et le Parti travailliste (qui l'a hérité) a refusé de le corriger lorsque des vulnérabilités ont été découvertes.
The Coalition created a system using non-standard protocols, and Labor (which inherited it) refused to fix it when vulnerabilities were discovered.
 Les deux décisions semblent motivées par une inertie bureaucratique et une réticence à reconnaître les échecs architecturaux systémiques.
Both decisions appear driven by bureaucratic inertia and unwillingness to acknowledge systemic architectural failures.

VRAI

7.0

sur 10

L'affirmation est factuellement exacte concernant la vulnérabilité myGovID et le refus du gouvernement de la corriger.
The claim is factually accurate regarding the myGovID vulnerability and the government's refusal to fix it.
 Cependant, il y a une **précision temporelle importante** : la décision de refuser la remédiation a été prise par le **gouvernement travailliste en septembre 2024**, pas par le gouvernement de la Coalition.
However, there is an important **temporal clarification**: The decision to refuse remediation was made by the **Labor government in September 2024**, not the Coalition government.
 La Coalition (2013-2022) a pris la décision originale d'utiliser un protocole sur mesure et non standard, qui était le choix architectural qui a permis cette vulnérabilité.
The Coalition (2013-2022) made the original decision to use a bespoke, non-standard protocol, which was the architectural choice that enabled this vulnerability.
 L'affirmation peut être interprétée de deux façons : 1. **Si elle fait référence à la conception originale du protocole (ère de la Coalition 2013-2022)** : VRAI - La Coalition a choisi un protocole sur mesure plutôt que des normes éprouvées 2. **Si elle fait référence au refus de 2024 de corriger la vulnérabilité découverte** : VRAI mais prise par le gouvernement travailliste, pas la Coalition L'énoncé « A choisi d'ignorer et de ne pas corriger » se lit naturellement comme faisant référence au refus de remédier après la découverte (septembre 2024), qui était une décision du gouvernement travailliste, bien que le choix architectural sous-jacent ait été fait par la Coalition.
The claim could be interpreted two ways: 1. **If referring to original protocol design (Coalition era 2013-2022):** TRUE - The Coalition chose a bespoke protocol over proven standards 2. **If referring to the 2024 refusal to fix the discovered vulnerability:** TRUE but made by Labor government, not Coalition The statement "Chose to ignore and not fix" most naturally reads as referring to the refusal to remediate after discovery (September 2024), which was a Labor government decision, though the underlying architectural choice was made by the Coalition.

📚 SOURCES ET CITATIONS (8)

  1. 1
    itnews.com.au

    itnews.com.au

    ATO declines to change protocol.

    iTnews
  2. 2
    thinkingcybersecurity.com

    thinkingcybersecurity.com

    Thinkingcybersecurity

  3. 3
    innovationaus.com

    innovationaus.com

    Innovationaus

  4. 4
    accountantsdaily.com.au

    accountantsdaily.com.au

    From security concerns to clashes with workplace policies, the transition to myGovID has caused a few headaches within the profession, but the ATO believes worries are misplaced.

    Accountantsdaily Com
  5. 5
    PDF

    Keeping myGov Secure

    Ombudsman Gov • PDF Document
  6. 6
    architecture.digital.gov.au

    architecture.digital.gov.au

    Architecture Digital Gov

  7. 7
    cecs.anu.edu.au

    cecs.anu.edu.au

    Cecs Anu Edu

  8. 8
    ato.gov.au

    ato.gov.au

    Ato Gov

Méthodologie de l'échelle de notation

1-3: FAUX

Factuellement incorrect ou fabrication malveillante.

4-6: PARTIEL

Une part de vérité mais le contexte manque ou est biaisé.

7-9: MAJORITAIREMENT VRAI

Détails techniques mineurs ou problèmes de formulation.

10: EXACT

Parfaitement vérifié et contextuellement équitable.

Méthodologie: Les notations sont déterminées par recoupement des documents gouvernementaux officiels, des organisations indépendantes de vérification des faits et des documents sources primaires.

Previous: C0160 Next: C0162