Qu'est-ce qu'un warrant canary ? Tout savoir sur cet outil de transparence et raisons de s'en méfier

Les entreprises collectent vos données personnelles et comportements en ligne, mais elles ne sont pas les seules à s'y intéresser. Les autorités judiciaires peuvent exiger leur transmission, parfois sous contrainte de secret absolu.

Pour contourner cela, de nombreuses entreprises recourent à une stratégie appelée « warrant canary » afin d'alerter subtilement leurs utilisateurs.

Qu'est-ce qu'un warrant canary ?

Imaginez un « canari dans une mine de charbon ».

Autrefois, les mineurs utilisaient des canaris pour détecter les gaz toxiques comme le monoxyde de carbone. Ces oiseaux montraient des signes de détresse avant les humains, servant ainsi d'alerte précoce.

De la même manière, un warrant canary signale (ou plutôt l'absence de) mandat judiciaire secret. Une entreprise publie une page dédiée affirmant n'avoir reçu aucun mandat pour les données clients. Si cette page disparaît ou change, cela suggère un mandat reçu.

Les warrant canaries sont-ils fiables ?

Réponse courte : Non !

Un warrant canary ne fournit pas de preuve irréfutable. La disparition d'une déclaration n'indique qu'une spéculation.

5 problèmes majeurs des warrant canaries

1. Les canaries disparaissent parfois pour réapparaître peu après.
2. Le libellé change subtilement, alimentant les spéculations sans certitude.
3. Certains sont mis à jour quotidiennement, d'autres stagnent et sont oubliés.
4. Aucune uniformité : HTML, PDF, images, ou signés GnuPG.
5. Ces incohérences compliquent la surveillance fiable.

Pour approfondir, consultez le rapport Canary Watch de l'Electronic Frontier Foundation (EFF).

Exemples de warrant canaries

Voici comment certaines entreprises les implémentent.

1. Le warrant canary d'Apple

Apple publie des rapports de transparence semestriels détaillant les demandes des forces de l'ordre. Consultez-les sur leur site.

Le rapport de 2013 incluait :

« Apple n'a jamais reçu d'ordonnance en vertu de l'article 215 du USA Patriot Act. Nous nous attendrions à contester une telle ordonnance si elle nous était signifiée. »

L'article 215 permet aux agences de renseignement de collecter des documents et d'imposer le silence.

Ce texte a disparu dans le rapport suivant, remplacé par :

« À ce jour, Apple n'a reçu aucune commande de données en masse. »

Certains y ont vu un mandat secret, mais cela pourrait être une reformulation légale. Nous ne le saurons jamais avec certitude. La phrase originelle est absente depuis.

2. Le warrant canary de NordVPN

NordVPN, fournisseur VPN basé au Panama, affiche son canary en bas de sa page « À propos ».

Attention : Le Panama n'impose pas de conservation de données ni d'ordres de bâillon, contrairement au USA Patriot Act. L'URL originale redirige désormais.

3. Le warrant canary de Purism

Purism, spécialiste des ordinateurs open source et privacy-focused, consacre une page entière explicite à son canary.

« Cette page informe les utilisateurs que Purism n'a reçu aucune assignation gouvernementale secrète... Si non mise à jour dans les délais, assumez un mandat reçu. »

Même ainsi, en 2019, un retard de synchro a suscité des rumeurs sur les forums. La transparence n'empêche pas les conclusions hâtives.

Vous ne pouvez pas faire pleinement confiance aux warrant canaries

Ils naissent d'une volonté de transparence sincère, mais varient en qualité et ne prouvent rien définitivement.

Voyez la confusion autour du canary de SpiderOak dans les commentaires. Partagez vos expériences !