Les mines de charbon du XIXe siècle utilisaient des canaris en cage. Les oiseaux sont plus sensibles aux gaz toxiques que les humains. Quand le canari s’arrêtait de chanter, les mineurs avaient quelques minutes pour évacuer.
L’oiseau ne pouvait pas crier “danger”. Mais son silence disait tout.
Le problème légal
Aux États-Unis, au Canada et dans de nombreux pays, les services de renseignement peuvent envoyer des ordonnances légales à une entreprise pour obtenir des données utilisateurs — avec une clause de silence. L’entreprise ne peut pas divulguer qu’elle a reçu une telle demande, ni à qui elle concerne, ni pendant combien de temps.
NSL (National Security Letters) aux États-Unis. Demandes SCRS au Canada. Les noms varient. Le mécanisme est similaire : l’entreprise doit coopérer et se taire.
Mais — et c’est là que c’est intéressant — elle ne peut généralement pas être forcée à mentir activement.
Comment fonctionne un Warrant Canary
Un service publie régulièrement (chaque semaine, chaque mois) une déclaration signée cryptographiquement :
“À la date du [date], [nom du service] n’a reçu aucune demande gouvernementale secrète, aucune NSL, aucune ordonnance de surveillance, aucune injonction de divulgation de données utilisateurs.”
La déclaration est signée avec la clé PGP du service. N’importe qui peut vérifier son authenticité.
Tant que la déclaration est mise à jour, tout va bien.
Le jour où elle cesse d’être mise à jour — ou où elle est modifiée pour retirer certains éléments — le message est clair : quelque chose a changé. Une ordonnance a peut-être été reçue.
Des exemples réels
Reddit (2015) : Reddit publiait un Warrant Canary dans son rapport de transparence annuel. En 2016, la déclaration “Reddit n’a pas reçu de NSL” avait disparu du rapport. Reddit n’a jamais confirmé officiellement, mais la disparition a été largement interprétée comme la réception d’une ordonnance secrète.
Lavabit (2013) : Service email utilisé par Edward Snowden. Le fondateur a préféré fermer le service plutôt que de remettre des données à la NSA. Il n’avait pas de Warrant Canary, mais son choix de fermeture était lui-même un signal.
Proton Mail : Maintient un Warrant Canary actif sur leur page de transparence. Mis à jour régulièrement avec signature cryptographique.
Les limites
Un Warrant Canary n’empêche pas la surveillance. Il vous informe qu’elle a peut-être commencé.
Les limites pratiques :
- Vous devez surveiller activement le canary — la plupart des utilisateurs ne le font pas
- Un gouvernement pourrait théoriquement forcer une entreprise à continuer le canary même après une ordonnance (controverse juridique non résolue)
- Certains juristes pensent que le canary lui-même pourrait être interprété comme une tentative de contournement
Mais dans la pratique, les canaries qui ont “disparu” ont généralement suivi des événements de surveillance réels.
Comment utiliser cette information
Si vous utilisez des services avec des données sensibles, vérifier leur Warrant Canary fait partie d’une hygiène de vie privée sérieuse.
Sites à vérifier :
- Proton (email, VPN, Drive) : proton.me/legal/warrant-canary
- Mullvad VPN : mullvad.net/en/blog/tags/canary
- Le registre général : warrantcanary.com
Ce que vous pouvez faire maintenant
- Ajoutez les pages de canary de vos services critiques à vos favoris — vérifiez-les trimestriellement
- Privilégiez les services qui publient des rapports de transparence avec signature cryptographique vérifiable
- Pour les services sans canary : assumez que des demandes légales sont possibles et stockez vos données en conséquence
Le Warrant Canary ne vous protège pas de la surveillance. Il vous informe. Ce qui vous permet de décider quoi faire ensuite.
C’est la différence entre être surveillé à l’insu de tous, et l’apprendre assez tôt pour agir. Pour comprendre à quelles obligations légales les entreprises québécoises font face, notre article sur la Loi 25 et la cybersécurité au Québec donne le contexte complet.
Sequr — Agent certifié québécois
À lire aussi :
