Qu'est-ce qu'une déclaration de non-injonction ?

Un canari de mandat est une déclaration publique décrivant une action qu'un fournisseur de services n'a pas effectuée ; la déclaration est supprimée si le fournisseur de services obtient un ordre légal de prendre cette action mais qu'il lui est interdit de la divulguer.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définissez le terme "canari".
  • Décrivez les principales utilisations des canaris de mandat
  • Expliquer à quoi sert un rapport de transparence

Copier le lien de l'article

Qu'est-ce qu'une déclaration de non-injonction ?

Un warrant canary est une déclaration selon laquelle une organisation n'a pas pris certaines mesures ou n'a pas reçu certaines demandes d'informations de la part d'autorités gouvernementales ou policières. De nombreux services utilisent des warrant canaries pour faire savoir aux utilisateurs à quel point leurs données sont privées .

Certains types de demandes émanant des services de police et de renseignement sont assortis d'ordonnances interdisant aux organisations de révéler qu'elles ont été reçues. Toutefois, en supprimant de leur site Web (ou de l'endroit où il est affiché) la déclaration correspondante sur les mandats, les organisations peuvent indiquer qu'elles ont reçu une telle demande.

Pourquoi l'appelle-t-on un canari "" ? Le terme provient de l'analogie courante "canari dans la mine de charbon", qui fait référence à la pratique consistant à faire descendre des canaris dans les mines pour aider à indiquer la présence de gaz mortel. Le gaz était invisible et ne pouvait être senti, mais si le canari mourait, les mineurs savaient que le gaz était présent. De même, certaines demandes gouvernementales sont "invisible" - elles ne peuvent pas être annoncées publiquement. Cependant, un canari de mandat manquant indique qu'une telle demande existe, tout comme la mort d'un canari indique la présence d'un gaz mortel.

Exemples de canaris de mandat

L'un des premiers exemples d'un canari de mandat est un panneau affiché à l'intérieur d'une bibliothèque dans l'État américain du Vermont en 2005. Le panneau indiquait simplement : " "Le FBI n'est pas venu ici"" ; si le panneau était enlevé, cela signifierait que le Federal Bureau of Investigations (FBI) avait accédé aux dossiers des usagers de la bibliothèque.

Voici un exemple d'un canari de mandat plus sophistiqué pour un service en ligne : "Notre entreprise n'a jamais installé de logiciel ou d'équipement d'application de la loi sur notre réseau." (Voir la section sur les canaris de mandat de Cloudflare ci-dessous pour plus d'exemples).

Qu'est-ce qu'un rapport de transparence ?

Les canaris des mandats apparaissent généralement dans les rapports de transparence. Un rapport de transparence est un rapport publié à intervalles réguliers par une organisation, afin de rendre compte des demandes d'information des forces de l'ordre. Certains rapports de transparence décrivent également la fréquence à laquelle le contenu a été supprimé ou bloqué à la suite d'une intervention gouvernementale.

Lorsqu'un canari de mandat disparaît de la dernière version d'un rapport de transparence, cela indique que la déclaration n'est plus applicable - en d'autres termes, une agence gouvernementale a fait une demande telle que décrite dans le canari.

Vous pouvez lire le rapport sur la transparence de Cloudflare à l'adresse ici.

Qu'est-ce qu'une demande du gouvernement ?

Une demande gouvernementale est toute demande d'information émanant d'une agence gouvernementale. Il peut s'agir de demandes émanant d'organismes chargés de l'application de la loi, qui enquêtent généralement sur des délits, ou de demandes émanant d'organismes de renseignement ou d'autres organismes publics dotés de pouvoirs d'enquête. Les organismes publics doivent généralement s'adresser à un tribunal pour ordonner aux organisations de produire des informations, ce qui les oblige à s'y conformer. Mais ils peuvent aussi simplement demander des informations. Les demandes émanant des agences de renseignement sont particulièrement pertinentes pour l'utilisation du mandat canari, car elles ne peuvent généralement pas être annoncées publiquement.

Qu'est-ce qu'une lettre de sécurité nationale ?

Une lettre de sécurité nationale (NSL) est un type de demande de renseignement spécifique aux agences de renseignement américaines. Les destinataires de la NSL sont tenus de garder secret le fait qu'ils ont reçu une NSL afin que les agences puissent mener leurs enquêtes sans interférence et sans informer le sujet de l'enquête. Les agences fédérales ne peuvent utiliser la NSL que pour demander certains types de documents - elles ne peuvent pas demander le contenu des communications, comme le corps des messages électroniques ou les conversations téléphoniques.

Que sont les backdoors de cryptage ?

Le cryptage est une méthode permettant de dissimuler des informations en les brouillant de sorte qu'elles semblent être des données aléatoires. Seules les parties possédant la clé de cryptage peuvent décrypter et visualiser les véritables informations.

Il est arrivé à plusieurs reprises que des gouvernements demandent à des fournisseurs de services technologiques d'introduire des portes dérobées dans leur système de cryptage. Une porte dérobée est un moyen intégré de contourner le cryptage, un peu comme si l'on donnait à quelqu'un un passe-partout capable d'ouvrir toutes les serrures d'un bâtiment.

Les portes dérobées rendent le cryptage plus faible et moins sûr. Pour cette raison, les fournisseurs de technologie peuvent inclure un canari de mandat de cryptage pour indiquer si leur cryptage a été affaibli ou non à la demande d'une agence gouvernementale.

Que sont les canaris des mandats de Cloudflare ?

En décembre 2020, Cloudflare a posté les canaris de mandat suivants :

  1. Cloudflare n'a jamais remis à quiconque ses clés de chiffrement ou d'authentification, ni celles de ses clients.
  2. Cloudflare n'a jamais installé d'outil logiciel ou d'équipement physique chargé de l'application de la loi sur son réseau.
  3. Cloudflare n'a jamais communiqué de flux relatif au contenu client transitant par notre réseau à un quelconque organisme chargé de l'application de la loi.
  4. Cloudflare n'a jamais modifié le contenu d'un client à la demande des autorités ou d'un tiers.
  5. Cloudflare n'a jamais modifié la destination prévue des réponses DNS à la demande des autorités ou d'un tiers.
  6. Cloudflare n'a jamais affaibli, altéré ou détourné l'un de ses mécanismes de chiffrement à la demande des autorités ou d'un tiers.

Consultez le rapport sur la transparence de Cloudflare pour en savoir plus.