Les entreprises collectent des données sur ce que vous pensez et faites, mais elles ne sont pas les seules intéressées par ces informations. Les organismes chargés de l'application des lois veulent parfois l'accès, et lorsqu'ils le font, ils peuvent obliger les entreprises à le leur remettre. Certains peuvent même faire jurer à ces entreprises le secret de toute l'affaire.
De nombreuses entreprises n'aiment pas cela, elles ont donc adopté une tactique appelée «mandataire des canaris» pour nous alerter de ce qui se passe.
Qu'est-ce qu'un mandataire Canary?
Pensez: «canari dans une mine de charbon».
Les oiseaux canaris étaient autrefois utilisés dans les mines de charbon comme système de détection des gaz toxiques. Les Canaries montreraient des signes de maladie plus tôt que les humains une fois que les niveaux de monoxyde de carbone ont commencé à augmenter. De cette façon, les oiseaux ont servi de système d'alerte précoce.
Les canaris mandataires vous alertent de l'existence d'un mandat (ou plutôt de l'inexistence d'un mandat). Supposons qu'une entreprise crée une page Web dédiée indiquant qu'elle n'a jamais reçu de garantie pour les données client. Cette page est le mandataire canari. S'il tombe en panne ou si le libellé change, vous pouvez déduire que l'entreprise a reçu un mandat.
Les mandataires des Canaries sont-ils dignes de confiance?
Réponse courte: non!
Un mandataire ne fournit aucune information définitive qu'un mandat a été émis. Lorsqu'une déclaration disparaît d'un site Web, le mieux que nous puissions faire est de spéculer.
5 principaux problèmes avec les Canaries sous mandat
- Parfois, les canaris sous mandat ne disparaissent que pour réapparaître quelques jours plus tard.
- Parfois, la langue change subtilement, nous donnant plus de raisons de spéculer mais encore moins de certitude.
- Certains canaris reçoivent des mises à jour quotidiennement tandis que d'autres sont affichés et restent inchangés, peut-être même oubliés.
- Il n'y a pas de cohérence entre les canaris sous mandat. Certains apparaissent en HTML sur des pages Web, tandis que d'autres sont dans des rapports PDF téléchargeables ou indiqués par une image. Certains sites font l'effort de signer le leur avec GnuPG.
- Toutes ces incohérences rendent la surveillance des canaris sous mandat difficile.
Pour en savoir plus sur les questions entourant les canaris sous mandat, jetez un œil au Rapport Canary Watch d'Electronic Frontier Foundation.
Exemples de mandarins sous mandat
Voici quelques façons dont les entreprises ont utilisé des canaris mandataires jusqu'à présent.
1. «Mandataire Canary» d’Apple
Apple publie un rapport de transparence deux fois par an, qui détaille la fréquence à laquelle l'entreprise se conforme aux demandes de données des forces de l'ordre. Vous pouvez afficher les rapports de transparence d'Apple sur son site Internet.
Le premier rapport en 2013 contenait une ligne que divers points de vente ont signalé comme un mandataire. Voici le texte:
«Apple n'a jamais reçu d'ordonnance en vertu de l'article 215 du USA Patriot Act. Nous nous attendrions à contester une telle ordonnance si elle nous était signifiée. »
L'article 215 de la USA Patriot Act permet aux agences de renseignement de collecter de nombreux types de forcer des particuliers ou des entreprises à ne pas parler de la question.
La ligne susmentionnée ne figurait nulle part dans le prochain rapport. Au lieu de cela, il y avait ceci:
"À ce jour, Apple n'a reçu aucune commande de données en masse."
Certains observateurs ont considéré ce changement comme une preuve qu'Apple avait depuis reçu une demande secrète de données et faisait désormais l'objet d'un bâillon. Mais il est également possible qu'un écrivain ou un avocat ait simplement reformulé le passage, soit pour plus de clarté, soit pour rendre les propos d'Apple plus défendables devant les tribunaux. Nous ne savons tout simplement pas s'il s'agissait d'un mandataire.
La ligne d'origine est restée manquante dans tous les rapports ultérieurs.
2. Mandataire du NordVPN Canary
NordVPN est un fournisseur VPN qui place un mandataire sur sa page À propos de nous. Voici une capture d'écran de ce que vous voyez actuellement si vous faites défiler jusqu'en bas, avec la date mise à jour.
Mais il y a quelques détails à garder à l'esprit ici, que la société a développés lors de la première annonce de son mandataire. NordVPN est basé au Panama, pas aux États-Unis, il n'est donc pas soumis au US Patriot Act. Les États-Unis ne sont pas le seul pays à avoir de telles lois, mais comme le déclare NordVPN, le Panama n'exige pas la conservation des données ni autorise les ordres de bâillon.
Pourtant, si vous avez suivi le canari du mandat de la société, vous avez peut-être remarqué que la page À propos de nous n'était pas son domicile d'origine. Dans l'annonce originale, le mandataire canari avait sa propre URL, qui redirige désormais.
3. Mandat du Purisme Canaries
Purism fabrique des ordinateurs en mettant l'accent sur les logiciels libres et la confidentialité. Dans un souci de transparence, la société dispose d'une page Web entière qui sert de mandataire. Le titre de la page, l'URL et la description de la page indiquent explicitement ce qu'est un canari de mandat et le but de la page.
«Cette page est destinée à informer les utilisateurs que Purism n'a reçu aucune assignation secrète du gouvernement dans aucun de ses matériels, logiciels ou services. Si un mandataire n'a pas été mis à jour dans le délai spécifié par Purism, les utilisateurs doivent supposer que Purism a effectivement reçu une assignation secrète. L'intention est de permettre à Purism d'avertir passivement les utilisateurs de l'existence d'une citation à comparaître, sans divulguer à d'autres que le gouvernement a cherché ou obtenu l'accès à des informations ou des dossiers sous un secret assignation. Les canaris mandataires ont été jugés légaux par le ministère américain de la Justice, tant qu'ils sont passifs dans leurs notifications. »
Pourtant, même avec des intentions aussi claires et transparentes, il y a encore place à la conjecture. Quand le 1er octobre 2019 est venu et est parti, quelqu'un a les forums Purism pour vous renseigner sur la mise à jour manquante du canari de mandat. Ils ont reçu un lien vers le code source du mandataire sur GitLab, qui avait été mis à jour à temps et n'était pas encore synchronisé avec le site. Cela montre que même lorsqu'il y a un haut degré de transparence, les canaris sous mandat permettent toujours de tirer facilement des conclusions.
Vous ne pouvez tout simplement pas faire confiance aux Canaries sous mandat
Les canaris mandataires peuvent provenir d'un désir sincère d'informer les utilisateurs sur l'état de leurs données. Mais alors que certaines implémentations sont meilleures que d'autres, un mandataire ne fournit pas à lui seul une preuve définitive d'une assignation.
Si vous voulez voir à quel point la confusion peut émaner d'un mandataire, consultez le fil de commentaires qui a suivi suite à une modification du mandataire de SpiderOak. Vous êtes également invités à partager votre propre expérience.
Bertel est un minimaliste numérique qui écrit à partir d'un ordinateur portable avec des commutateurs de confidentialité physiques et un système d'exploitation approuvé par la Free Software Foundation. Il valorise l'éthique par rapport aux fonctionnalités et aide les autres à prendre le contrôle de leur vie numérique.