Les entreprises collectent des données sur ce que vous pensez et faites, mais elles ne sont pas les seules à s'intéresser à ces informations. Les organismes chargés de l'application de la loi veulent parfois y accéder et, lorsqu'ils le font, ils peuvent obliger les entreprises à le leur remettre. Certains peuvent même faire jurer à ces entreprises de garder le secret sur toute l'affaire.
De nombreuses entreprises n'aiment pas cela, elles ont donc adopté une tactique appelée "warrant canaries" pour nous alerter de ce qui se passe.
Pensez :"un canari dans une mine de charbon".
Les canaris étaient autrefois utilisés dans les mines de charbon comme système de détection de gaz toxiques. Les canaris montreraient des signes de maladie plus tôt que les humains une fois que les niveaux de monoxyde de carbone auraient commencé à augmenter. De cette façon, les oiseaux ont servi de système d'alerte précoce.
Les Warrant Canaries vous avertissent de l'existence d'un mandat (ou plutôt de l'inexistence d'un mandat). Supposons qu'une entreprise crée une page Web dédiée indiquant qu'elle n'a jamais reçu de mandat pour les données client. Cette page est le canari mandat. S'il tombe en panne ou si le libellé change, vous pouvez en déduire que l'entreprise a reçu un mandat.
Réponse courte :Non !
Un canari de mandat n'offre pas d'informations définitives sur l'émission d'un mandat. Lorsqu'une déclaration disparaît d'un site Web, tout ce que nous pouvons faire, c'est spéculer.
Pour en savoir plus sur les problèmes liés aux mandats canaris, consultez le rapport Canary Watch de l'Electronic Frontier Foundation.
Voici quelques façons dont les entreprises ont utilisé les warrant canaries jusqu'à présent.
Apple publie un rapport de transparence deux fois par an, qui détaille la fréquence à laquelle l'entreprise se conforme aux demandes de données des forces de l'ordre. Vous pouvez consulter les rapports de transparence d'Apple sur son site Web.
Le premier rapport de 2013 contenait une ligne que divers médias ont signalée comme un canari mandaté. Voici le texte :
"Apple n'a jamais reçu d'ordonnance en vertu de l'article 215 du USA Patriot Act. Nous nous attendrions à contester une telle ordonnance si elle nous était signifiée."
L'article 215 du USA Patriot Act permet aux agences de renseignement de collecter de nombreux types de documents et forcer les individus ou les entreprises à ne pas en parler .
La ligne susmentionnée était introuvable dans le rapport suivant. À la place, il y avait ceci :
"À ce jour, Apple n'a reçu aucune commande de données en masse."
Certains observateurs ont pris ce changement comme une preuve qu'Apple avait depuis reçu une demande secrète de données et était désormais soumis à un ordre de bâillon. Mais il est également possible qu'un écrivain ou un avocat ait simplement reformulé le passage, soit pour plus de clarté, soit pour rendre les propos d'Apple plus défendables devant les tribunaux. Nous ne savons tout simplement pas s'il s'agissait même d'un canari mandaté.
La ligne d'origine est restée absente de tous les rapports ultérieurs.
NordVPN est un fournisseur VPN qui place un mandat canari sur sa page À propos de nous. Voici une capture d'écran de ce que vous voyez actuellement si vous faites défiler jusqu'en bas, avec la date mise à jour.
Mais il y a quelques détails à garder à l'esprit ici, que la société a élaborés lors de la première annonce de son mandat canari. NordVPN est basé au Panama, pas aux États-Unis, il n'est donc pas soumis au US Patriot Act. Les États-Unis ne sont pas le seul pays à avoir de telles lois, mais comme l'indique NordVPN, le Panama n'exige pas la conservation des données ni n'autorise les ordres de bâillon.
Pourtant, si vous avez suivi le mandat canari de l'entreprise, vous avez peut-être remarqué que la page À propos de nous n'était pas sa page d'accueil d'origine. Dans l'annonce d'origine, le warrant canary avait sa propre URL, qui redirige désormais.
Purism fabrique des ordinateurs en mettant l'accent sur les logiciels libres et la confidentialité. Dans un souci de transparence, la société dispose d'une page Web entière qui sert de mandat canari. Le titre de la page, l'URL et la description de la page indiquent explicitement ce qu'est un warrant canary et le but de la page.
"Cette page est destinée à informer les utilisateurs que Purism n'a pas reçu d'assignation gouvernementale secrète dans aucun de ses matériels, logiciels ou services. Si un canari de mandat n'a pas été mis à jour dans le délai spécifié par Purism, les utilisateurs doivent supposer que Purism a effectivement reçu une citation à comparaître secrète.L'intention est de permettre à Purism d'avertir passivement les utilisateurs de l'existence d'une citation à comparaître, sans divulguer à d'autres que le gouvernement a demandé ou obtenu l'accès à des informations ou à des documents en vertu d'une citation à comparaître secrète. Les canaris mandatés ont été jugés légaux par le ministère de la Justice des États-Unis, tant qu'ils sont passifs dans leurs notifications."
Pourtant, même avec des intentions aussi claires et transparentes, il y a encore de la place pour les conjectures. Lorsque le 1er octobre 2019 est venu et est reparti, quelqu'un s'est rendu sur les forums Purism pour poser des questions sur la mise à jour manquante du canari du mandat. Ils ont reçu un lien vers le code source du warrant canary sur GitLab, qui avait été mis à jour à temps et pas encore synchronisé avec le site. Cela montre que même lorsqu'il existe un degré élevé de transparence, les canaris des mandats permettent toujours de sauter facilement aux conclusions.
Les Warrant Canaries peuvent découler d'un désir sincère d'informer les utilisateurs sur l'état de leurs données. Mais alors que certaines implémentations sont meilleures que d'autres, un mandat canari ne fournit pas à lui seul une preuve définitive d'une assignation .
Si vous voulez voir à quel point la confusion peut être engendrée par un canari de mandat, consultez le fil de commentaires qui a suivi une modification du canari de mandat de SpiderOak. Vous êtes également invités à partager votre propre expérience.
