Qu’est- ce qu’un Warrant Canary ?
Méconnu et pourtant assez répandu sur Internet, le terme Warrant Canary est une déclaration publique indiquant qu’un fournisseur de service Internet n’a pas fait l’objet d’une demande d’information dans le cadre d’une procédure judiciaire. C’est, en réalité, une astuce visant à contourner les lois sur l’interdiction de divulgation de mise sur écoute ou de mise à disposition d’informations confidentielles concernant un utilisateur.
Pourquoi un canari ?
À l’origine, la forme domestiquée du Serin des Canaries était utilisée pour prévenir les mineurs que le taux d’oxygène devenait drastiquement bas et l’air toxique. Dès l’instant où l’oiseau montrait des signes de faiblesse, cela indiquait aux ouvriers de la mine qu’il fallait remonter au plus vite. Cette méthode fut abandonnée en 1987.
La vérité est ailleurs
En réalité, c’est un biais et il n’y a aucune raison de faire confiance aux déclarations véhiculées par ces oiseaux virtuels. Dans de nombreux pays, y compris la France, les lois relatives à la sécurité nationale et aux renseignements condamnent très lourdement toute personne divulguant le fait qu’un fournisseur ait reçu l’ordre de mettre sur écoute ou de transmettre des informations personnelles aux autorités. La technique du canari mandataire joue donc sur les mots et flirte un peu avec la ligne rouge. En Australie, c’est interdit de «divulguer des informations sur l’existence ou la non-existence».
X-Files©
Depuis 2018, le jeu s’est encore compliqué. Avec l’adoption du CLOUD Act (Clarifying Lawful Overseas Use of Data Act) aux États-Unis, les autorités américaines peuvent désormais exiger des entreprises sous juridiction US qu’elles livrent des données stockées n’importe où dans le monde, même sur des serveurs européens ou asiatiques. Ce texte a changé la donne : il rend les warrant canaries encore plus délicats à maintenir, car les ordres de divulgation peuvent désormais franchir les frontières avec une facilité déconcertante. Beaucoup de fournisseurs ont préféré abandonner cette pratique et passer aux rapports de transparence, juridiquement moins risqués.À quoi ça ressemble ?
Il s’agit en réalité d’un simple document déclarant la non-existence d’une quelconque demande d’informations ou de mise sur écoute. Aucune connaissance particulière n’est requise pour comprendre la teneur du propos puisqu’en théorie, si une demande d’information est faite, la déclaration disparait tout simplement.
D’ailleurs, si vous lancez une requête sur le sujet dans un moteur de recherches, il est aisé de se rendre compte que parfois une simple image suffit à remplir le rôle du warrant canary.
Warrant Canary de Surfshark
Les réseaux privés virtuels ne sont pas des FAI. Ils sont cependant fournisseurs de services Internet et leur nature d’intermédiaire peut parfois les contraindre à répondre à certaines injonctions.
À l’image d’Apple en 2013 qui avait publié une déclaration officielle indiquant que l’entreprise «n’a jamais reçu aucun ordre» de divulguer des informations sur ses utilisateurs (disparue en 2014), certains fournisseurs de VPN sans log publient des warrant canary. Ces déclarations sont souvent publiées par souci de transparence, énumérant les procédures que l’entreprise peut déclarer officiellement comme un programme de Bug bounty ou un audit indépendant.
Pourquoi Apple a-t-il arrêté ? Probablement à cause de pressions juridiques croissantes. Avec l’arrivée du CLOUD Act quelques années plus tard, ce type de déclaration est devenu encore plus compliqué à tenir.
Quels VPN utilisent encore un warrant canary en 2026 ?
| VPN | Statut | Dernière mise à jour |
|---|---|---|
| Surfshark | ✅ Actif | 15 janvier 2026 |
| IVPN | ✅ Actif | 7 janvier 2026 |
| SlickVPN | ✅ Actif | 29 septembre 2025 |
L’oxygène commence à manquer.
Soutenu par ExpressVPN, l’EFF (The Electronic Frontier Foundation), une organisation à but non-lucratif de défense des libertés civiles dans le monde numérique, avait créé en 2015 un site entièrement dédié aux warrant canaries, CanaryWatch. Le site avait pour objectif de recenser les canaris publiés. Le projet est définitivement mort en 2026.
Ancienne page de Canary Watch
Parmi les passereaux disparus au cours de ces dernières années, on retrouve Apple, Reddit et Pinterest pour ne citer que les plus connus. Celui de SpiderOak, le cloud sécurisé chiffré, s’apparenterait plus à un phœnix tant il semble renaître de ses cendres pour disparaître à nouveau.
Depuis 2020, la tendance s’est confirmée. De nombreux fournisseurs ont abandonné les warrant canaries au profit de rapports de transparence plus complets et moins risqués juridiquement. NordVPN a abandonné son Warrant Canary en 2024, ProtonVPN n’en voit même pas l’intérêt vu sa juridiction suisse (la loi suisse oblige à notifier les personnes visées, donc le canary perd son sens). D’autres, comme ExpressVPN et CyberGhost, publient désormais des rapports trimestriels de transparence détaillant le nombre de demandes reçues et les réponses apportées.
Un warrant Canary sert-il encore à quelque chose ?
Bonne question. En 2026, un warrant canary reste un signal de bonne volonté, mais c’est clairement insuffisant pour évaluer la fiabilité d’un VPN.
Si un provider mise tout sur son canary sans audit indépendant ni rapport de transparence, c’est insuffisant. Le canari, c’est la cerise sur le gâteau, pas le gâteau lui-même.
Voilà ce qui compte vraiment, par ordre d’importance :
🔴 Juridiction (Suisse, Panama > États-Unis, UK, Australie)
🔴 Audit indépendant récent (moins de 2 ans)
🔴 Transparency report détaillé
🟡 No-log policy vérifiable
🟢 Warrant canary actif
Les rapports de transparence sont devenus une norme chez les VPN sérieux. Ils offrent une vision plus claire : nombre de demandes reçues, de quels pays, combien refusées, et surtout, combien de données transmises (normalement zéro si le no-log est réel).
Conclusion
Il est difficile de conclure au terme de ce type d’article, l’idée était d’expliquer simplement le principe du warrant canary.
Ce qui est sûr, c’est qu’en 2026, un simple oiseau virtuel ne suffit plus. Face aux évolutions juridiques comme le CLOUD Act, les audits indépendants, la juridiction et les rapports de transparence restent les meilleurs indicateurs de confiance.
A propos de l'auteur : Mina
CoFondatrice de VPN Mon Ami
Chasseuse de bugs dans son quotidien, Mina teste tous les outils de cybersécurité, anciens et nouveaux, que nous vous faisons découvrir.
Note de transparence :
Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.
Si vous décidez d’essayer un service via le lien fourni, l’équipe recevra une petite commission sans frais supplémentaires pour vous. Cette commission nous permet de continuer à fournir du contenu de qualité et à maintenir ce site indépendant sans bannières publicitaires intrusives, pour une lecture plus agréable sans suivi.
Soyez assuré que notre analyse et nos opinions sont objectifs et basées sur nos recherches et notre expérience dans le domaine de la cybersécurité. Nous sommes indépendants.
