Qu’est- ce qu’un Warrant Canary ?

Méconnu et pourtant assez répandu sur Internet, le terme Warrant Canary est une déclaration publique indiquant qu’un fournisseur de service Internet n’a pas fait l’objet d’une demande d’information dans le cadre d’une procédure judiciaire. C’est, en réalité, une astuce visant à contourner les lois sur l’interdiction de divulgation de mise sur écoute ou de mise à disposition d’informations confidentielles concernant un utilisateur.

Pourquoi un canari ?

À l’origine, la forme domestiquée du Serin des Canaries était utilisée pour prévenir les mineurs que le taux d’oxygène devenait drastiquement bas et l’air toxique. Dès l’instant où l’oiseau montrait des signes de faiblesse, cela indiquait aux ouvriers de la mine qu’il fallait remonter au plus vite. Cette méthode fut abandonnée en 1987.

La vérité est ailleurs

En réalité, c’est un biais et il n’y a aucune raison de faire confiance aux déclarations véhiculées par ces oiseaux virtuels.
Dans de nombreux pays, y compris la France, les lois relatives à la sécurité nationale et aux renseignements condamnent très lourdement toute personne divulguant le fait qu’un fournisseur ait reçu l’ordre de mettre sur écoute ou de transmettre des informations personnelles aux autorités.
La technique du canari mandataire joue donc sur les mots et flirte un peu avec la ligne rouge. En Australie, c’est interdit de «divulguer des informations sur l’existence ou la non-existence».

X-Files©

À quoi ça ressemble ?

Il s’agit en réalité d’un simple document déclarant la non-existence d’une quelconque demande d’informations ou de mise sur écoute. Aucune connaissance particulière n’est requise pour comprendre la teneur du propos puisqu’en théorie, si une demande d’information est faite, la déclaration disparait tout simplement.
D’ailleurs, si vous lancez une requête sur le sujet dans un moteur de recherches, il est aisé de se rendre compte que parfois une simple image suffit à remplir le rôle du warrant canary.

Warrant Canary d’AltasVPN©

En quoi ça concerne les VPN ?

Les réseaux privés virtuels ne sont pas des FAI. Ils sont cependant fournisseurs de services Internet et leur nature d’intermédiaire peut parfois les contraindre à répondre à certaines injonctions. À l’image d’Apple en 2013 qui avait publié une déclaration officielle indiquant que l’entreprise «n’a jamais reçu aucun ordre» de divulguer des informations sur ses utilisateurs (disparue en 2014), certains fournisseurs de VPN sans log publient des warrant canary. Parmi eux, on peut citer Surfshark et AtlasVPN. Ces déclarations sont souvent publiées par souci de transparence, énumérant les procédures que l’entreprise peut déclarer officiellement comme un programme de Bug bounty ou un audit indépendant.

L’oxygène commence à manquer.

Soutenu par ExpressVPN, l’EFF* (The Electronic Frontier Foundation), une organisation à but non-lucratif de défense des libertés civiles dans le monde numérique, a crée en 2015 un site entièrement dédié aux warrant canaries, CanaryWatch*. Le site avait pour objectif de recenser les canaris publiés. Le projet à cessé d’être alimenté 1 an plus tard.

Parmi les passereaux disparus au cours de ces dernières années, on retrouve, Apple, Reddit et Pinterest pour ne citer que les plus connus. Celui de SpiderOAK, le cloud sécurisé chiffré, s’apparenterait plus à un phœnix tant il semble renaître de ces cendres pour disparaître à nouveau.

Il est difficile de conclure au terme de ce type d’article, l’idée était d‘expliquer simplement le principe du Warrant canary.

* Si vous souhaitez en savoir plus, voici quelques liens utiles :

• Le site officiel de CanaryWatch. Même si il est toujours en ligne, celui-ci n’est plus alimenté.
• Le site officiel de l’EFF