Un canari de mandat est une déclaration publique décrivant une action qu'un fournisseur de services n'a pas effectuée ; la déclaration est supprimée si le fournisseur de services obtient un ordre légal de prendre cette action mais qu'il lui est interdit de la divulguer.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Un warrant canary est une déclaration selon laquelle une organisation n'a pas pris certaines mesures ou n'a pas reçu certaines demandes d'informations de la part d'autorités gouvernementales ou policières. De nombreux services utilisent des warrant canaries pour faire savoir aux utilisateurs à quel point leurs données sont privées .
Certains types de demandes émanant des services de police et de renseignement sont assortis d'ordonnances interdisant aux organisations de révéler qu'elles ont été reçues. Toutefois, en supprimant de leur site Web (ou de l'endroit où il est affiché) la déclaration correspondante sur les mandats, les organisations peuvent indiquer qu'elles ont reçu une telle demande.
Pourquoi l'appelle-t-on un canari "" ? Le terme provient de l'analogie courante "canari dans la mine de charbon", qui fait référence à la pratique consistant à faire descendre des canaris dans les mines pour aider à indiquer la présence de gaz mortel. Le gaz était invisible et ne pouvait être senti, mais si le canari mourait, les mineurs savaient que le gaz était présent. De même, certaines demandes gouvernementales sont "invisible" - elles ne peuvent pas être annoncées publiquement. Cependant, un canari de mandat manquant indique qu'une telle demande existe, tout comme la mort d'un canari indique la présence d'un gaz mortel.
L'un des premiers exemples d'un canari de mandat est un panneau affiché à l'intérieur d'une bibliothèque dans l'État américain du Vermont en 2005. Le panneau indiquait simplement : " "Le FBI n'est pas venu ici"" ; si le panneau était enlevé, cela signifierait que le Federal Bureau of Investigations (FBI) avait accédé aux dossiers des usagers de la bibliothèque.
Voici un exemple d'un canari de mandat plus sophistiqué pour un service en ligne : "Notre entreprise n'a jamais installé de logiciel ou d'équipement d'application de la loi sur notre réseau." (Voir la section sur les canaris de mandat de Cloudflare ci-dessous pour plus d'exemples).
Les canaris des mandats apparaissent généralement dans les rapports de transparence. Un rapport de transparence est un rapport publié à intervalles réguliers par une organisation, afin de rendre compte des demandes d'information des forces de l'ordre. Certains rapports de transparence décrivent également la fréquence à laquelle le contenu a été supprimé ou bloqué à la suite d'une intervention gouvernementale.
Lorsqu'un canari de mandat disparaît de la dernière version d'un rapport de transparence, cela indique que la déclaration n'est plus applicable - en d'autres termes, une agence gouvernementale a fait une demande telle que décrite dans le canari.
Vous pouvez lire le rapport sur la transparence de Cloudflare à l'adresse ici.
Une demande gouvernementale est toute demande d'information émanant d'une agence gouvernementale. Il peut s'agir de demandes émanant d'organismes chargés de l'application de la loi, qui enquêtent généralement sur des délits, ou de demandes émanant d'organismes de renseignement ou d'autres organismes publics dotés de pouvoirs d'enquête. Les organismes publics doivent généralement s'adresser à un tribunal pour ordonner aux organisations de produire des informations, ce qui les oblige à s'y conformer. Mais ils peuvent aussi simplement demander des informations. Les demandes émanant des agences de renseignement sont particulièrement pertinentes pour l'utilisation du mandat canari, car elles ne peuvent généralement pas être annoncées publiquement.
Une lettre de sécurité nationale (NSL) est un type de demande de renseignement spécifique aux agences de renseignement américaines. Les destinataires de la NSL sont tenus de garder secret le fait qu'ils ont reçu une NSL afin que les agences puissent mener leurs enquêtes sans interférence et sans informer le sujet de l'enquête. Les agences fédérales ne peuvent utiliser la NSL que pour demander certains types de documents - elles ne peuvent pas demander le contenu des communications, comme le corps des messages électroniques ou les conversations téléphoniques.
Le chiffrement est une méthode permettant de dissimuler des informations en les brouillant de sorte qu'elles semblent être des données aléatoires. Seules les parties possédant la clé de chiffrement peuvent décrypter et visualiser les véritables informations.
Il est arrivé à plusieurs reprises que des gouvernements demandent à des fournisseurs de services technologiques d'introduire des portes dérobées dans leur système de chiffrement. Une porte dérobée est un moyen intégré de contourner le chiffrement, un peu comme si l'on donnait à quelqu'un un passe-partout capable d'ouvrir toutes les serrures d'un bâtiment.
Les portes dérobées rendent le chiffrement plus faible et moins sûr. Pour cette raison, les fournisseurs de technologie peuvent inclure un canari de mandat de chiffrement pour indiquer si leur chiffrement a été affaibli ou non à la demande d'une agence gouvernementale.
En décembre 2020, Cloudflare a posté les canaris de mandat suivants :
Consultez le rapport sur la transparence de Cloudflare pour en savoir plus.