Dans les mines de charbon, on a longtemps utilisé des canaris en cage du fait de leur grande sensibilité aux gaz toxiques. Quand l’oiseau s’évanouissait, il était temps de s’inquiéter pour les hommes.
C’est un peu l’idée du Warrant Canary (que l’on pourrait traduire par « garantie du canari »). Cette garantie est une publication régulière, voire automatique, où un prestataire de service indique qu’il n’a pas reçu de demande des agences de renseignements dont il ne pourrait pas parler. Dans le cadre des services en ligne américains, qu’ils n’ont pas reçu de demande de divulguer des informations sur leurs clients hors d’une procédure judiciaire. Si la société reçoit une demande secrète de la justice, elle s’engage à tuer le canari, c’est-à-dire à faire disparaître le fichier canari de son site, informant ainsi qu’elle est sous surveillance, mais sans préciser quoique ce soit, puisqu’elle n’en a pas le droit. Initié par Apple en 2013 – qui a du tuer son canari en 2014 – l’idée a été reprise et développée par l’Electronic Frontier Foundation, le Calyx Institute, l’université de New York et le Berkman Center via un site web dédié (Canary Watch, @warrantcanary) qui surveille l’état de santé des canaris publiés par plusieurs sites (Reddit, Pinterest, Tumblr, Medium… ainsi que plusieurs services de VPN) et se répand petit à petit. First Look Media, l’éditeur de The Intercept, le site d’information fondé par le journaliste Glenn Greenwald à l’origine des révélations d’Edward Snowden, a publié son canari ainsi qu’un petit logiciel (AutoCanary) permettant à qui le souhaite de publier sa garantie canari – un simple fichier texte qui s’ajoute aux métadonnées du site.
Comme le souligne Numerama, ce micro système de confiance, déclaratif, pourrait être utilisé par bien d’autres fournisseurs de services et d’accès à travers le monde pour indiquer qu’ils ont reçu l’ordre de déployer des systèmes de collecte de données des autorités. En fait, bien souvent, les sociétés visées reçoivent également l’ordre de ne pas révéler la demande qui leur a été faite, ni même son existence. Mais après les révélations d’Edward Snowden, nombre de sociétés ayant communiqué des informations au gouvernement ont été vertement critiquées. Plusieurs se sont alors engagées dans un bras de fer pour avoir le droit de publier un rapport de transparence pour faire état des demandes de surveillance qu’ils recevaient, sans pour autant en divulguer le détail à l’image de ceux de Google (Google liste de nombreuses sociétés qui publient un audit de ce type). Garanties du canari et rapports de transparence sont en passe de devenir des outils pour rétablir la confiance entre services en ligne et utilisateurs.
Divulgation by design
Dans le Yale Law Journal, la documentariste Rebecca Wexler, revient longuement sur cette innovation qu’elle désigne comme une méthode de “divulgation par le design”. Un peu comme Detekt, cet outil lancé par Amnesty International pour aider les journalistes à vérifier que l’ordinateur qu’ils utilisent n’est pas infecté par un logiciel espion. Pour Rebecca Wexler, les garanties canari pourraient faire école et se multiplier : elles pourraient indiquer si le système technique n’est pas compromis par une fuite de données ou une défaillance de sécurité. On pourrait ainsi imaginer que les attaques que les serveurs des fournisseurs de services publient automatiquement un état de leur niveau de sécurité afin d’alerter plus rapidement les utilisateurs quand la sécurité de leurs données est compromise. Facebook et Gmail informent ainsi automatiquement leurs utilisateurs quand ils suspectent un comportement anormal ou quand une nouvelle adresse IP cherche à accéder à un compte.
Pour Rebecca Wexler, ce système est plus simple que la publication de rapports de transparence annuels, mais pourrait être amélioré pour porter plus d’information ou diversifié pour porter sur plusieurs aspects de sécurité. Intégrer la divulgation dans la conception peut aussi avoir des conséquences sur le comportement des services de surveillance puisque leurs actions seront désormais visibles de tous. En tout cas, ce système montre que les fournisseurs de services peuvent adopter unilatéralement des solutions afin de mieux prévenir leurs utilisateurs des niveaux de sécurité et de confidentialité de leurs données. Un bon moyen pour les sensibiliser toujours plus à la protection des données et les aider à mieux communiquer avec ceux qui les utilisent.
Hubert Guillaud