Qu’est- ce qu’un Warrant Canary ?

par | 20 Fév 2024 | Protection et vie privée

Méconnu et pourtant assez répandu sur Internet, le terme Warrant Canary est une déclaration publique indiquant qu’un fournisseur de service Internet n’a pas fait l’objet d’une demande d’information dans le cadre d’une procédure judiciaire. C’est, en réalité, une astuce visant à contourner les lois sur l’interdiction de divulgation de mise sur écoute ou de mise à disposition d’informations confidentielles concernant un utilisateur.

Pourquoi un canari ?

À l’origine, la forme domestiquée du Serin des Canaries était utilisée pour prévenir les mineurs que le taux d’oxygène devenait drastiquement bas et l’air toxique. Dès l’instant où l’oiseau montrait des signes de faiblesse, cela indiquait aux ouvriers de la mine qu’il fallait remonter au plus vite. Cette méthode fut abandonnée en 1987.

illustration : cage à oiseaux vide

La vérité est ailleurs

En réalité, c’est un biais et il n’y a aucune raison de faire confiance aux déclarations véhiculées par ces oiseaux virtuels.
Dans de nombreux pays, y compris la France, les lois relatives à la sécurité nationale et aux renseignements condamnent très lourdement toute personne divulguant le fait qu’un fournisseur ait reçu l’ordre de mettre sur écoute ou de transmettre des informations personnelles aux autorités.
La technique du canari mandataire joue donc sur les mots et flirte un peu avec la ligne rouge. En Australie, c’est interdit de «divulguer des informations sur l’existence ou la non-existence».

Illustration : scène d'X-files©

X-Files©

À quoi ça ressemble ?

Il s’agit en réalité d’un simple document déclarant la non-existence d’une quelconque demande d’informations ou de mise sur écoute. Aucune connaissance particulière n’est requise pour comprendre la teneur du propos puisqu’en théorie, si une demande d’information est faite, la déclaration disparait tout simplement.
D’ailleurs, si vous lancez une requête sur le sujet dans un moteur de recherches, il est aisé de se rendre compte que parfois une simple image suffit à remplir le rôle du warrant canary.

Illustration : Warrant Canary AtlasVPNWarrant Canary d’AltasVPN©

En quoi ça concerne les VPN ?

Les réseaux privés virtuels ne sont pas des FAI. Ils sont cependant fournisseurs de services Internet et leur nature d’intermédiaire peut parfois les contraindre à répondre à certaines injonctions. À l’image d’Apple en 2013 qui avait publié une déclaration officielle indiquant que l’entreprise «n’a jamais reçu aucun ordre» de divulguer des informations sur ses utilisateurs (disparue en 2014), certains fournisseurs de VPN sans log publient des warrant canary. Parmi eux, on peut citer Surfshark et AtlasVPN. Ces déclarations sont souvent publiées par souci de transparence, énumérant les procédures que l’entreprise peut déclarer officiellement comme un programme de Bug bounty ou un audit indépendant.

 

L’oxygène commence à manquer.

Illustration : canari watch

Soutenu par ExpressVPN, l’EFF* (The Electronic Frontier Foundation), une organisation à but non-lucratif de défense des libertés civiles dans le monde numérique, a crée en 2015 un site entièrement dédié aux warrant canaries, CanaryWatch*. Le site avait pour objectif de recenser les canaris publiés. Le projet à cessé d’être alimenté 1 an plus tard.

Parmi les passereaux disparus au cours de ces dernières années, on retrouve, Apple, Reddit et Pinterest pour ne citer que les plus connus. Celui de SpiderOAK, le cloud sécurisé chiffré, s’apparenterait plus à un phœnix tant il semble renaître de ces cendres pour disparaître à nouveau.

 

Il est difficile de conclure au terme de ce type d’article, l’idée était d‘expliquer simplement le principe du Warrant canary.

* Si vous souhaitez en savoir plus, voici quelques liens utiles :

 

  • Le site officiel de CanaryWatch. Même si il est toujours en ligne, celui-ci n’est plus alimenté.
  • Le site officiel de l’EFF
Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour vos nombreux partages !
A propos de l'auteur : Mina

A propos de l'auteur : Mina

CoFondatrice de VPN Mon Ami

Chasseuse de bug dans son quotidien, Mina teste tous les outils de cybersécurité, anciens et nouveaux, que nous vous faisons découvrir.

Note de transparence :

Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.

Si vous décidez d’essayer un service via le lien fourni, l’équipe de VPN Mon Ami recevra une petite commission sans frais supplémentaires pour vous. Cette commission nous permet de continuer à fournir du contenu de qualité et à maintenir ce site indépendant sans bannières publicitaires intrusives, pour une lecture plus agréable sans suivi.

Soyez assuré que notre analyse et nos opinions sont objectifs et basées sur nos recherches et notre expérience dans le domaine de la cybersécurité. Nous sommes indépendants.

Share This