Vrai

Note : 8.5/10

Signaler un problème
Coalition
C0195

L'affirmation

“A ignoré les meilleures pratiques de sécurité lors du déploiement de l'application COVIDSafe, choisissant de ne pas mettre en place de programme de primes aux bogues, et de ne pas publier le code source rapidement, malgré les promesses faites en ce sens, ce qui a entraîné la découverte de multiples vulnérabilités par des chercheurs bien plus tard qu'elles n'auraient dû l'être.”
COVID Cybersécurité Technologie
Source originale : Matthew Davis

Sources originales

VÉRIFICATION FACTUELLE

L'affirmation selon laquelle le gouvernement australien a ignoré les meilleures pratiques de sécurité avec l'application COVIDSafe est **largement exacte**, bien qu'elle nécessite des clarifications importantes concernant le timing et le contexte. **Réponse tardive aux vulnérabilités :** Quelques heures après le lancement de COVIDSafe le 26 avril 2020, le chercheur en sécurité Jim Mussared a découvert plusieurs problèmes de confidentialité dans la version Android dès 1h19 le 27 avril [1].
The claim that the Australian government ignored security best practices with the COVIDSafe app is **substantially accurate**, though it requires important clarification regarding timing and context. **Delayed Response to Vulnerabilities:** Within hours of COVIDSafe's release on April 26, 2020, security researcher Jim Mussared discovered multiple privacy issues in the Android version by 1:19am on April 27 [1].
 Il a détaillé ces vulnérabilités dans un rapport complet et a envoyé un e-mail au ministère de la Santé, à l'Agence de transformation numérique (DTA), au Australian Signals Directorate (ASD) et au Australian Cyber Security Centre (ACSC) les 27 et 28 avril [1].
He detailed these vulnerabilities in a comprehensive report and emailed the Department of Health, Digital Transformation Agency (DTA), Australian Signals Directorate (ASD), and the Australian Cyber Security Centre (ACSC) on April 27-28 [1].
 Cependant, Mussared n'a reçu qu'une réponse d'une seule ligne de la DTA une semaine plus tard, le 5 mai, et cette réponse n'est arrivée qu'après que les médias aient commencé à poser des questions [1].
However, Mussared only received a single-line response from the DTA a week later on May 5, and this response came only after media began making inquiries [1].
 En comparaison, Mussared a confirmé qu'il avait pu joindre l'équipe de Singapour (qui a développé TraceTogether, l'application sur laquelle l'Australie a modelé COVIDSafe) en quelques heures et que certains problèmes avaient été corrigés par eux [1]. **Aucun programme formel de primes aux bogues :** Le gouvernement n'a pas établi de programme formel de primes aux bogues pour COVIDSafe.
In comparison, Mussared confirmed that he was able to reach Singapore's team (which developed TraceTogether, the app Australia modeled COVIDSafe on) within hours and had some issues fixed by them [1]. **No Formal Bug Bounty Program:** The government did not establish a formal bug bounty program for COVIDSafe.
 Selon les experts en cybersécurité cités dans des sources faisant autorité, "les meilleures pratiques consisteraient en un programme formel de divulgation et un programme de primes aux bogues, ainsi qu'un engagement à corriger les bogues" [1].
According to cybersecurity experts quoted in authoritative sources, "the best practices would be a formal disclosure program and a bug bounty program, and a commitment to getting the bugs fixed" [1].
 Cela représente un écart significatif par rapport aux meilleures pratiques. À titre de comparaison, l'approche du gouvernement britannique concernant son application NHS COVID-19 incluait des processus de divulgation des vulnérabilités plus structurés [1]. **Publication tardive du code source :** Bien que l'Australie ait finalement publié le code source (le code de l'application a été publié le 28 avril 2020), il y a eu des retards importants et des problèmes de transparence [1].
This represents a significant departure from best practices.
 La cryptographe Dr Vanessa Teague a noté que "Singapour a publié le code de l'application et du serveur il y a des semaines" tandis que "l'Australie et le Royaume-Uni ont publié le code de l'application, et non le code du serveur, au cours des dernières 24 heures" [1].
For comparison, the UK government's approach to its NHS COVID-19 app included more structured vulnerability disclosure processes [1]. **Delayed Source Code Publication:** While Australia eventually released source code (app code was published on April 28, 2020), there were significant delays and transparency issues [1].
 Fait crucial, l'Australie n'a publié que le code de l'application, pas le code du serveur "le serveur fait toute la cryptographie" [1].
Cryptographer Dr.
 Le gouvernement n'a également pas publié de livres blancs expliquant la conception cryptographique et les hypothèses de sécurité, contrairement à Singapour et au Royaume-Uni [1]. **Multiples vulnérabilités découvertes au fil du temps :** Les chercheurs ont identifié au moins quatre vulnérabilités majeures dans COVIDSafe qui ont été découvertes à différents moments tout au long de l'année 2020 [2] : - Un bogue dans la façon dont COVIDSafe lit les messages Bluetooth sur les iPhones, provoquant le brouillage de certains messages chiffrés [2] - CVE-2020-14292 : Une vulnérabilité permettant le suivi à long terme des appareils Android [2] - CVE-2020-12856 : Une faille affectant les versions Android 1.0.17 et antérieures, permettant aux attaquants de s'associer silencieusement avec les téléphones Android [2] - Une faille de concurrence critique dans le code de chiffrement (versions 1.0.18 à 1.0.27) une seule instance Cipher était partagée entre les threads sans synchronisation [2] Ces vulnérabilités n'ont pas toutes été découvertes simultanément, mais plutôt identifiées au fur et à mesure que les chercheurs examinaient le code au fil des semaines et des mois [2]. **Manque d'engagement avec la communauté de recherche :** Le gouvernement n'a pas suffisamment engagé le dialogue avec les chercheurs soulevant des préoccupations.
Vanessa Teague noted that "Singapore released app and server code weeks ago" while "Aus & the UK released app code, and no server code, within the last 24 hours" [1].
 Le Dr Vanessa Teague et ses collègues ont signalé des problèmes avec l'application, mais la communication était difficile [1].
Critically, Australia only released application code—not the server code where "the server does all the crypto" [1].
 L'Australian Digital Transformation Agency n'a publié qu'une adresse e-mail les chercheurs "pourraient fournir des commentaires" plutôt que d'établir un programme formel et réactif de divulgation des vulnérabilités [1].
The government also failed to publish whitepapers explaining the cryptographic design and security assumptions, unlike Singapore and the UK [1]. **Multiple Vulnerabilities Discovered Over Time:** Researchers identified at least four major vulnerabilities in COVIDSafe that were discovered at different times throughout 2020 [2]: - A bug in how COVIDSafe reads Bluetooth messages on iPhones, causing some encrypted messages to be garbled [2] - CVE-2020-14292: A vulnerability allowing long-term tracking of Android devices [2] - CVE-2020-12856: A flaw affecting Android versions 1.0.17 and earlier, allowing attackers to bond silently with Android phones [2] - A critical concurrency flaw in encryption code (versions 1.0.18 to 1.0.27) where a single Cipher instance was shared across threads without synchronization [2] These were not all discovered simultaneously, but rather identified as researchers examined the code over weeks and months [2]. **Lack of Engagement with Research Community:** The government did not adequately engage with researchers raising concerns.

Contexte manquant

Cependant, l'affirmation nécessite un contexte significatif qui affecte l'interprétation : **Calendrier précipité et réponse à la pandémie :** L'application COVIDSafe a été développée en réponse à une urgence pandémique et a été lancée rapidement [3].
However, the claim requires significant context that affects interpretation: **Rushed Timeline and Pandemic Response:** The COVIDSafe app was developed in response to an urgent pandemic crisis and was released quickly [3].
 Le gouvernement développait une technologie à un rythme sans précédent pendant une urgence de santé publique.
The government was developing technology at an unprecedented pace during a public health emergency.
 Bien que cela explique l'urgence, cela n'excuse pas l'échec de mise en œuvre des pratiques de sécurité standard de l'industrie en fait, cela les rend plus importantes, pas moins [3]. **Responsabilité gouvernementale vs analyse comparative :** Le gouvernement a finalement répondu à certains problèmes.
While this explains the urgency, it does not excuse the failure to implement industry-standard security practices—in fact, it makes them more important, not less [3]. **Government Accountability vs.
 Après que la communauté de recherche a identifié des vulnérabilités, la DTA et le Australian Signals Directorate ont corrigé la faille de concurrence du chiffrement, ce que les chercheurs leur ont remercié d'avoir traité [2].
Comparative Analysis:** The government did eventually respond to some issues.
 Cependant, l'échec initial du gouvernement à établir des mécanismes proactifs de divulgation des vulnérabilités signifiait que les corrections venaient de manière réactive plutôt que systématique. **Comparaison avec les normes internationales :** L'application de traçage des contacts de Singapour (TraceTogether), sur laquelle l'Australie a modelé COVIDSafe, a démontré qu'une divulgation plus rapide des vulnérabilités et des pratiques de sécurité plus transparentes étaient réalisables même dans un contexte de pandémie.
After the research community identified vulnerabilities, the DTA and Australian Signals Directorate did patch the encryption concurrency flaw, which researchers thanked them for addressing [2].
 De même, l'approche du Royaume-Uni, bien que non parfaite, était significativement plus transparente avec une documentation de livres blancs et un engagement plus rapide avec les chercheurs [1]. **Échelle de l'impact :** Bien que les problèmes de sécurité de COVIDSafe étaient réels, l'application a finalement échoué à fournir une valeur épidémiologique.
However, the government's initial failure to establish proactive vulnerability disclosure mechanisms meant fixes came reactively rather than systematically. **Comparison to International Standards:** Singapore's contact tracing app (TraceTogether), which Australia modeled COVIDSafe after, demonstrated that faster vulnerability disclosure and more transparent security practices were feasible even in a pandemic context.
 Un rapport gouvernemental confidentiel d'experts-conseils indépendants a révélé que "l'utilisation de COVIDSafe... a entraîné des coûts de transaction élevés pour les équipes de traçage des contacts des États et a produit peu d'avantages" [3].
Similarly, the UK's approach, while not perfect, was significantly more transparent with whitepaper documentation and faster engagement with researchers [1]. **Scale of Impact:** While COVIDSafe's security issues were real, the app ultimately failed to deliver epidemiological value.
 Au moment l'application a été décommissionnée, elle n'avait découvert que deux cas positifs et 17 contacts étroits pendant toute sa période d'activité [3].
A confidential government report by independent consultants found that "the utilisation of COVIDSafe...resulted in high transaction costs for state contact tracing teams and produced few benefits" [3].
 Les vulnérabilités de sécurité se sont donc produites dans une application qui était déjà fondamentalement inefficace pour son objectif déclaré.
By the time the app was decommissioned, it had discovered only two positive cases and 17 close-contacts during its entire period of activity [3].

Évaluation de la crédibilité de la source

Les sources originales fournies sont crédibles et bien documentées : **Article ZDNET [1] :** ZDNET est une publication technologique grand public détenue par Ziff Davis Media et est largement reconnue comme une source crédible pour le reportage technologique.
The original sources provided are credible and well-documented: **ZDNET Article [1]:** ZDNET is a mainstream technology publication owned by Ziff Davis Media and is widely recognized as a credible source for technology reporting.
 L'article de Stilgherrian, un journaliste technologique reconnu, est basé sur des reportages directs de Jim Mussared (un chercheur en sécurité) et du Dr Vanessa Teague (une cryptographe respectée).
The article by Stilgherrian, a noted technology journalist, is based on direct reporting from Jim Mussared (a security researcher) and Dr.
 L'article est factuel et documenté [1]. **Article ITNews [2] :** ITNews.com.au est une publication d'actualités technologiques australienne avec une solide réputation pour un reportage précis.
Vanessa Teague (a respected cryptographer).
 L'article documente des vulnérabilités identifiées par plusieurs chercheurs respectés (Chris Culnane, Ben Frengley, Eleanor McMurtry, Jim Mussared, Yaakov Smith, Vanessa Teague et Alwen Tiu) et est basé sur leur documentation GitHub détaillée [2]. **Documentation GitHub [3] :** Le dépôt GitHub maintenu par Vanessa Teague et d'autres contient une analyse technique et une documentation chronologique.
The article is fact-based and documented [1]. **ITNews Article [2]:** ITNews.com.au is an Australian technology news publication with a solid reputation for accurate reporting.
 C'est une source primaire rédigée par les chercheurs en sécurité eux-mêmes et est hautement crédible pour comprendre ce qui a été découvert et quand [3].
The article documents vulnerabilities identified by multiple respected researchers (Chris Culnane, Ben Frengley, Eleanor McMurtry, Jim Mussared, Yaakov Smith, Vanessa Teague, and Alwen Tiu) and is based on their detailed GitHub documentation [2]. **GitHub Documentation [3]:** The GitHub repository maintained by Vanessa Teague and others contains technical analysis and timeline documentation.
 Ces sources ne sont pas un plaidoyer partisan ; ce sont des reportages factuels par des journalistes technologiques respectés et des experts en cryptographie documentant des problèmes de sécurité dans une application gouvernementale.
This is a primary source authored by security researchers themselves and is highly credible for understanding what was discovered and when [3].
⚖️

Comparaison avec Labor

**Le parti travailliste a-t-il fait quelque chose de similaire concernant les pratiques de sécurité technologique ?** Cette question est quelque peu difficile à évaluer directement car le parti travailliste n'était pas au pouvoir pendant la pandémie de COVID-19 (la Coalition a gouverné de 2013 à 2022, tandis que le parti travailliste a remporté les élections de 2022).
**Did Labor do something similar with technology security practices?** This question is somewhat difficult to assess directly because Labor was not in power during the COVID-19 pandemic (the Coalition governed 2013-2022, while Labor won the 2022 election).
 Cependant, certains contextes historiques pertinents existent : **Initiatives technologiques du gouvernement travailliste précédent :** Pendant la période 2007-2013 le parti travailliste était au gouvernement, il a poursuivi diverses initiatives technologiques avec des résultats mitigés, y compris le National Broadband Network (NBN).
However, some relevant historical context exists: **Prior Labor Government Technology Initiatives:** During Labor's 2007-2013 period in government, it pursued various technology initiatives with mixed results, including the National Broadband Network (NBN).
 Le projet NBN a fait face à des critiques pour les dépassements de coûts et les défis de mise en œuvre, mais ceux-ci étaient plus liés à la gestion de projet et au déploiement d'infrastructure plutôt qu'aux pratiques de sécurité dans des applications spécifiques [4]. **Politiques de cybersécurité de l'opposition proposées :** Pendant la pandémie, le ministre shadow de la cybersécurité du parti travailliste, Tim Watts, a cité le modèle britannique d'une "plateforme centrale de divulgation des vulnérabilités" opérée par HackerOne comme une meilleure approche [1].
The NBN project faced criticism for cost overruns and implementation challenges, but these were more related to project management and infrastructure deployment rather than security practices in specific applications [4]. **Proposed Opposition Cyber Security Policies:** During the pandemic, Labor's Shadow Assistant Cyber Security Minister Tim Watts pointed to the UK's model of a "central vulnerability disclosure platform" operated by HackerOne as a better approach [1].
 Le parti travailliste proposait de telles mesures comme politique, suggérant que l'opposition reconnaissait que l'approche de la Coalition était déficiente [1].
Labor was proposing such measures as policy, suggesting the opposition recognized that the Coalition's approach was deficient [1].
 Cela implique que le parti travailliste aurait probablement mis en œuvre de meilleures pratiques, mais c'est une alternative proposée plutôt qu'un bilan démontré. **Culture de sécurité à l'échelle du gouvernement :** Il n'y a aucune preuve que le parti travailliste sous le gouvernement Albanese (2022-présent) ait mis en œuvre des pratiques de sécurité fondamentalement différentes pour les applications critiques.
This implies Labor would likely have implemented better practices, but this is a proposed alternative rather than a demonstrated track record. **Government-Wide Security Culture:** There is no evidence that Labor under Albanese government (2022-present) has implemented fundamentally different security practices for critical applications.
 La question semble être plus systémique à travers le gouvernement australien plutôt que partisane.
The issue appears to be more systemic across Australian government rather than partisan.
🌐

Perspective équilibrée

**La position du gouvernement :** La DTA a agi sous une pression temporelle extraordinaire pendant une pandémie.
**The Government's Position:** The DTA acted under extraordinary time pressure during a pandemic.
 L'établissement de programmes formels de primes aux bogues et la publication d'une documentation complète sur la sécurité nécessitent des processus qui prennent généralement des semaines ou des mois.
Establishing formal bug bounty programs and publishing comprehensive security documentation requires processes that typically take weeks or months.
 Le gouvernement a privilégié un déploiement rapide plutôt que les pratiques de sécurité multicouches qui auraient été idéales dans des circonstances normales. **Cependant, cela n'excuse pas l'approche :** La comparaison internationale montre que les pratiques de sécurité transparentes ne sont pas incompatibles avec un déploiement rapide.
The government prioritized rapid deployment over the layered security practices that would have been ideal under normal circumstances. **However, This Does Not Excuse the Approach:** International comparison shows that transparent security practices are not incompatible with rapid deployment.
 Singapour et le Royaume-Uni ont tous deux publié une documentation plus complète et établi des canaux de communication plus rapides avec les chercheurs, même pendant la même urgence pandémique [1].
Singapore and the UK both released more comprehensive documentation and established faster communication channels with researchers, even during the same pandemic emergency [1].
 L'explication "c'était urgent" fournit du contexte mais ne justifie pas d'abandonner entièrement les pratiques de sécurité standard de l'industrie. **Le problème systémique plus large :** L'analyse académique de l'écosystème technologique COVID de l'Australie suggère que cela faisait partie d'un problème plus large : "Le choix de l'Australie de promouvoir et de concevoir des indicateurs visuels de sécurité par exemple, une 'coche verte' pour les enregistrements est systématiquement venu au détriment de protections cryptographiques solides" [3].
The "it was urgent" explanation provides context but does not justify abandoning industry-standard security practices entirely. **The Broader Systemic Issue:** The academic analysis of Australia's COVID technology ecosystem suggests this was part of a broader problem: "Australia's choice to advertise and design visual indicators of security—e.g., a 'green tick' for check ins—persistently came at the cost of strong cryptographic protections" [3].
 Cela ne représente pas seulement une question de pression temporelle mais une différence philosophique fondamentale dans l'approche de la sécurité. **Distinction clé :** Choisir les meilleures pratiques de sécurité n'est pas un luxe supplémentaire ; c'est fondamental.
This represents not just a matter of timeline pressure but a fundamental philosophical difference in approaching security. **Key Distinction:** Choosing security best practices is not a luxury add-on; it's foundational.
 L'échec du gouvernement à mettre en œuvre une divulgation formelle des vulnérabilités, à publier le code complet, ou à établir des programmes de primes aux bogues signifiait que : - Les problèmes de sécurité étaient découverts par des chercheurs externes et signalés à des agences gouvernementales peu réactives - Les corrections étaient mises en œuvre de manière réactive plutôt que proactive - Le gouvernement n'a pas bénéficié de l'audit de sécurité participatif - La confiance du public a été érodée par de mauvaises pratiques de sécurité
The government's failure to implement formal vulnerability disclosure, publish complete code, or establish bug bounty programs meant that: - Security issues were discovered by external researchers and reported to unresponsive government agencies - Fixes were implemented reactively rather than proactively - The government didn't benefit from crowdsourced security auditing - Public trust was eroded by poor security practices

VRAI

8.5

sur 10

Le gouvernement de la Coalition a ignoré les meilleures pratiques de sécurité lors du déploiement de l'application COVIDSafe.
The Coalition government did ignore security best practices when deploying the COVIDSafe app.
 Le gouvernement a choisi de ne pas établir de programme formel de primes aux bogues [1], n'a pas publié rapidement le code source complet (seulement le code de l'application, pas celui du serveur) [1], et n'a pas mis en place de processus réactifs de divulgation des vulnérabilités [1].
The government chose not to establish a formal bug bounty program [1], did not promptly publish complete source code (only app code, not server code) [1], and failed to establish responsive vulnerability disclosure processes [1].
 Ces vulnérabilités y compris CVE-2020-14292, CVE-2020-12856, le brouillage des messages Bluetooth, et les failles de concurrence du chiffrement ont été découvertes par des chercheurs au fil du temps et signalées à un appareil gouvernemental peu réactif [1][2].
These vulnerabilities—including CVE-2020-14292, CVE-2020-12856, Bluetooth message garbling, and encryption concurrency flaws—were discovered by researchers over time and reported to an unresponsive government apparatus [1][2].
 Les comparaisons internationales (Singapour, Royaume-Uni) démontrent que ce sont des échecs de choix, pas de nécessité [1][3].
International comparisons (Singapore, UK) demonstrate these were failures of choice, not necessity [1][3].

📚 SOURCES ET CITATIONS (6)

  1. 1
    zdnet.com

    zdnet.com

    Best practice would suggest that making source code available and responding quickly to reported vulnerabilities is a given for government apps, but not yet in Australia.

    ZDNET
  2. 2
    itwire.com

    itwire.com

    A number of researchers have detailed four major vulnerabilities in the Australian Government's COVIDSafe application for the iPhone and Android systems, and advised users to upgrade at once. The main patches issued were to fix: A bug in the way COVIDSafe reads Bluetooth messages on iPhones. Thi...

    Researchers outline flaws in COVIDSafe app, urge users to upgrade
  3. 3
    arxiv.org

    arxiv.org

    Arxiv

  4. 4
    PDF

    report on the operation and effectiveness of covidsafe and the national covidsafe data store 0

    Health Gov • PDF Document
  5. 5
    ncbi.nlm.nih.gov

    ncbi.nlm.nih.gov

    Timely and effective contact tracing is an essential public health measure for curbing the transmission of COVID-19. App-based contact tracing has the potential to optimize the resources of overstretched public health departments. However, its ...

    PubMed Central (PMC)
  6. 6
    pmc.ncbi.nlm.nih.gov

    pmc.ncbi.nlm.nih.gov

    The global and national response to the COVID-19 pandemic has been inadequate due to a collective lack of preparation and a shortage of available tools for responding to a large-scale pandemic. By applying lessons learned to create better ...

    PubMed Central (PMC)

Méthodologie de l'échelle de notation

1-3: FAUX

Factuellement incorrect ou fabrication malveillante.

4-6: PARTIEL

Une part de vérité mais le contexte manque ou est biaisé.

7-9: MAJORITAIREMENT VRAI

Détails techniques mineurs ou problèmes de formulation.

10: EXACT

Parfaitement vérifié et contextuellement équitable.

Méthodologie: Les notations sont déterminées par recoupement des documents gouvernementaux officiels, des organisations indépendantes de vérification des faits et des documents sources primaires.

Previous: C0194 Next: C0196