Qu'est-ce qu'un mandat canari et fonctionnent-ils vraiment ?
Les canaris mandatés agissent de la même manière que les canaris dans une mine de charbon. Tout comme la mort d’un canari dans un puits de mine signale qu’il est rempli de gaz nocifs, Les mandats Canaries donnent aux entreprises un moyen de signaler si elles ont reçu des ordres secrets du gouvernement pour transmettre les données des utilisateurs. .
Pourquoi ne peuvent-ils pas simplement le dire aux gens ?
Les modifications apportées à la loi américaine ont rendu illégale pour les entreprises la divulgation de la date à laquelle elles recevaient ces commandes. Mais les changements n’a pas nécessairement interdit aux entreprises de publier ce qu’elles n'avait pas les a reçus .
Cette faille juridique a donné naissance aux canaris mandatés. Si une entreprise qui n'avait pas reçu de demande auparavant publiait régulièrement un avis du type « Nous n'avons reçu aucune demande secrète du FBI ou d'autres agences gouvernementales », elle pourrait cesser de publier l'avis si elle recevait une telle demande. .
Cela donne à l'entreprise un moyen d'annoncer au monde qu'elle a reçu une commande, sans la déclarer activement et sans se soumettre à des sanctions légales.
Si le principe des warrants canaries semble raisonnable, leur efficacité est discutable, surtout compte tenu de l’abondance de ces demandes et de la dynamique changeante de la collecte de données.
L’histoire des canaris à mandat
Le concept des canaris de mandat est né en réponse à l’adoption du Patriot Act par les États-Unis en 2001. Cet ensemble de lois de grande envergure a introduit une série de réformes pour lutter contre le terrorisme. Parmi eux, il a élargi les pouvoirs de surveillance des forces de l’ordre, amélioré la communication inter-agences et augmenté les sanctions pour les activités liées au terrorisme.
Le Patriot Act a suscité une controverse importante parmi les défenseurs des libertés civiles, avec le Centre d'information électronique sur la confidentialité qualifiant les lois d'inconstitutionnelles et déclarant que « les communications privées de citoyens américains respectueux des lois pourraient être interceptées accidentellement ».
L'une des principales préoccupations liées aux mandats canaris concernait le titre V du Patriot Act, qui modifiait la manière dont les lettres de sécurité nationale pouvaient être utilisées. Il s'agit d'assignations administratives émises par le gouvernement américain à des fins de sécurité nationale. Cependant, ils ne sont pas soumis à l’approbation d’un juge et le destinataire n’est pas autorisé à divulguer le fait qu’il a reçu une telle ordonnance.
Lettres de sécurité nationale
Lettres de sécurité nationale (NSL) ont été créés pour la première fois en vertu de la loi de 1978 sur la réglementation des institutions financières et le contrôle des taux d'intérêt et ont permis au FBI d'obtenir des documents financiers. seulement si :
- Cela pourrait démontrer que le suspect en question était une puissance étrangère ou un agent d’une puissance étrangère.
- L'institution financière a consenti à la lettre... le respect des NSL était volontaire.
Même si une institution n’était pas tenue de se conformer à une NSL, elle n’était pas autorisée à divulguer qu’elle en avait reçu une.
En vertu de l’Electronic Communications Privacy Act de 1986, un nouveau type de NSL obligatoire a été introduit, permettant aux agences gouvernementales d’accéder aux « informations de communications électroniques stockées » (essentiellement des données stockées) auprès de « fournisseurs de services de communications filaires ou électroniques » (fournisseurs de communications) uniquement si :
- Les informations fournies se limitaient aux « informations sur les abonnés et aux informations sur les enregistrements de facturation des péages », ainsi qu'aux informations transactionnelles sur les communications électroniques.
- Les informations étaient « pertinentes pour une enquête de contre-espionnage étrangère autorisée » et il y avait des « faits spécifiques et explicites » qui les ont amenés à croire que les informations concernaient une puissance étrangère.
- La NSL était approuvée par le directeur du FBI, ou par une personne déléguée à cette tâche par le directeur.
En 1993, le Congrès a encore assoupli les protections contre les NSL, les ouvrant non seulement aux agents de puissances étrangères, mais à toute personne soupçonnée de communiquer avec des agents étrangers à propos du terrorisme ou des renseignements.
En 2001, l’article 505 du Patriot Act a encore assoupli les limitations imposées aux NSL. Le FBI n’avait plus besoin de « faits explicites », ce qui signifie qu’il pouvait émettre des NSL dans des circonstances encore plus douteuses, à condition que les informations recherchées soient « pertinentes pour une enquête autorisée visant à se protéger contre le terrorisme international ou les activités clandestines de renseignement ».
Il permettait également à tout agent spécial en charge d'un bureau extérieur de certifier les NSL. Il y a actuellement 56 bureaux extérieurs , ce qui signifie que le pouvoir a été étendu d'un (ou deux, si le directeur du FBI avait délégué quelqu'un) à plus de 50 personnes si .
Essentiellement, les changements apportés par le Patriot Act ont rendu beaucoup plus facile l’émission de NSL et ont donné à beaucoup plus de personnes le pouvoir de le faire. Le tout sans qu’un juge supervise le processus et sans que les destinataires puissent révéler qu’ils en ont reçu un. S’ils le faisaient, ils s’exposeraient à des sanctions pénales.
Ces changements législatifs ne décrivaient même pas de processus permettant aux bénéficiaires d’une NSL de faire appel. Ils n’ont pas non plus précisé s’ils pouvaient les divulguer à leur conseiller juridique. Ce n'est qu'après un procès qui a conclu que les NSL violaient les premier et quatrième amendements qui ces dispositions ont été ajoutées .
Comme vous pouvez le constater, les NSL se sont lentement transformées au fil des années, passant d'assignations à comparaître qui pouvaient contourner le contrôle judiciaire dans des circonstances extrêmement limitées, à des assignations à comparaître qui pouvaient contourner les freins et contrepoids dans un ensemble de situations beaucoup plus large.
Ordonnances de silence de la Cour de surveillance du renseignement étranger
Les NSL n’étaient pas la seule puissance concernée par le Patriot Act. La loi de 1977 sur la surveillance des renseignements étrangers (FISA) a également été modifiée. Il a été initialement créé pour assurer un contrôle judiciaire et parlementaire de la surveillance gouvernementale des personnes ou entités étrangères aux États-Unis. Il a également créé la Cour de surveillance des renseignements étrangers (FISC) pour superviser les demandes de mandats FISA.
La loi autorise le président à autoriser la surveillance électronique par l'intermédiaire du procureur général. sans ordonnance du tribunal pendant un an si :
- Il s'agit uniquement d'acquérir des informations de renseignement étranger
- Elle ne vise que les biens ou les communications exclusivement contrôlés par des puissances étrangères.
- Il n’y a aucune probabilité substantielle qu’elle acquière le contenu de communications impliquant une personne américaine.
- Certaines procédures de minimisation sont suivies.
Il permet également au gouvernement de demander l'autorisation d'effectuer une surveillance électronique sur ordre du Cour de surveillance du renseignement étranger si:
- Il existe une raison probable pour que la cible de la surveillance soit une puissance étrangère ou un agent d'une puissance étrangère.
- Il y a une cause probable que les lieux mis sous surveillance seraient utilisés par la puissance étrangère ou son agent.
- Certaines exigences de minimisation sont satisfaites.
Ces ordonnances de surveillance du FISC peuvent être approuvées ou prolongées pour 90 jours, 120 jours ou un an à la fois.
Même si les demandes de surveillance adressées au FISC doivent franchir des barrières plus élevées et sont au moins soumises à une certaine forme de surveillance, les procédures se déroulent en secret. Les juges entendent uniquement les témoignages du ministère de la Justice – aucun parti ne préconise le rejet de la demande, comme le ferait un avocat de la défense dans une procédure judiciaire normale.
La seule information communiquée est le nombre de mandats demandés, délivrés et refusés. En 2017, 40 668 de ces 41 222 mandats de surveillance secrète ont été approuvés. Seuls 85 ont été renversés, tandis que 1 252 ont été modifiés. Avec près de 99 % d’approbations sans modification, il est difficile d’accepter que les juges de ce tribunal secret assurent réellement l’examen et la surveillance appropriés nécessaires à des atteintes aussi massives à la vie privée.
Les demandes FISA ont été modifiées par le Patriot Act. Parmi les nombreuses dispositions et pouvoirs supplémentaires, il a permis que ces mandats de surveillance ordonnés par le tribunal soient délivrés à ceux qui n'avaient aucune relation avec des entités étrangères. Même les citoyens pourraient faire l’objet d’une surveillance électronique s’ils étaient soupçonnés de terrorisme intérieur.
L’une des dispositions les plus pertinentes pour notre sujet était l’article 215 du Patriot Act. Cela a permis au directeur du FBI (ou à un responsable désigné par lui) d'ordonner à des tiers (ceux qui ne sont soupçonnés d'aucun crime) de remettre des documents susceptibles de faciliter une enquête. Cela comprenait des papiers, des documents, des dossiers, des livres et d'autres objets.
Ces les commandes ont été bâillonnées , de sorte que la personne ou l'organisation qui les a reçus n'a pas été en mesure d'en informer le public ou la personne concernée. Cependant, L'article 215 a expiré en 2020 , de sorte que ces dépassements spécifiques ne sont plus légaux, sauf dans les enquêtes qui étaient en cours au moment de l'expiration. Bien que ces dispositions soient expirées au moment de la rédaction, rien ne garantit qu’elles ne reviendront pas à l’avenir.
Ordonnances de silence en vertu de la Loi sur la protection des renseignements personnels dans les communications électroniques
Ce troisième grand ensemble de lois ne fait pas l’objet d’autant de presse, mais selon un article publié dans le Revue de droit de Harvard , il pourrait être impliqué dans un grand nombre de mandats de surveillance électronique soumis au silence.
L'Electronic Communications Privacy Act de 1986 (ECPA) a été créée pour établir des protections pour les télécommunications, mais elle prévoit également certaines exemptions. Notre principale préoccupation concerne le titre II, qui a promulgué la loi sur les communications stockées.
Entre autres dispositions, cette loi énonce des lois visant à traiter à la fois les divulgations forcées et volontaires de communications électroniques ainsi que les enregistrements de transactions des FAI. Cependant, il semble actuellement être appliqué à la plupart des entreprises technologiques de collecte de données.
Le le gouvernement peut contraindre un fournisseur de remettre les dossiers d’un individu s’il obtient un mandat d’un tribunal et que les informations sont conservées électroniquement depuis 180 jours ou moins.
Alternativement, si les données ont été stockées sur un service informatique à distance pendant plus de 180 jours, les entités gouvernementales peuvent obtenir les enregistrements si :
- Ils obtiennent un mandat délivré selon les procédures du Règlement fédéral de procédure pénale (ou les procédures correspondantes d'un tribunal d'État ou militaire).
Ou
- L'entité gouvernementale donne un préavis au sujet des dossiers par le biais d'une assignation administrative ou d'une ordonnance du tribunal.
Il existe quelques autres situations et détails, mais les aborder n’est pas particulièrement pertinent. Plus important encore, l'article 2705(b) autorise l'octroi d'ordonnances de silence lorsque ces documents sont divulgués.
Les entités gouvernementales peuvent demander aux tribunaux de refuser la notification. Les tribunaux accorderont le silence s’ils déterminent que la divulgation aura des conséquences néfastes. Tout comme les mandats NSL et FISA, le fournisseur peut ne pas être en mesure de dire au public ou à la personne concernée que ses dossiers ont été consultés.
Comment ces changements législatifs ont conduit à garantir les canaris
Les lois nouvelles ou modifiées n’ont pas été le seul changement majeur survenu après le 11 septembre. Les progrès technologiques modifiaient également le type et la quantité de données auxquelles les fournisseurs de communications accédaient et stockaient. Il ne s’agissait plus seulement de quelques enregistrements téléphoniques et d’informations de base sur les clients. Des personnes comme Facebook, Google et Amazon ont fini par connaître presque tous les aspects de notre vie.
Au milieu de ces changements, certaines personnes, organisations de défense des libertés civiles et partisans de la technologie ont commencé à s’inquiéter des conséquences sur la vie privée. Beaucoup a vu le dangereux précédent créé par les modifications législatives du Patriot Act. Ils ont prédit à juste titre que les fournisseurs de communications et d’autres organisations pourraient être contraints de transmettre des données sur des individus sous un contrôle judiciaire limité.
Les changements signifiaient que le FBI était en mesure d'obtenir les dossiers des individus sur la base d'un raisonnement le plus fragile. D’autres entités gouvernementales disposaient de procédures judiciaires très souples vers lesquelles elles pouvaient se tourner.
Les entreprises qui recevaient ces ordres pouvaient même être bâillonnées et ne pouvaient dire à personne qu’elles avaient reçu une ordonnance de la NSL, de la FISA ou un autre type d’assignation bâillonnée. Ils ne pouvaient pas le dire à la personne dont les dossiers étaient impliqués, ni au grand public.
Même si le destinataire tentait de faire appel de l'ordonnance (une fois que la procédure d'appel était définie dans la législation de 2005), il devait se taire pendant que l'affaire était résolue.
Steven Schear
En 2002, un an après l'adoption du Patriot Act, Steven Schear a posté un commentaire sur Yahoo! Tableau de messages Cypherpunk décrivant comment les FAI peuvent informer le public qu'ils ont reçu une NSL, sans enfreindre la législation.
Il a raisonné ainsi :
- Si une personne ne faisait pas l’objet d’une NSL, aucune loi n’empêchait un FAI de lui dire que les autorités n’avaient pas demandé ses dossiers.
- Si un FAI a reçu une NSL pour cette personne, il ne peut pas être légalement contraint de lui mentir.
Par conséquent, l'exigence de non-divulgation pourrait être contournée en mettant en place un système permettant aux utilisateurs d'appeler leur FAI et de simplement demander s'il a reçu une NSL les concernant.
Si aucun message n’avait été reçu, le FAI pourrait simplement répondre honnêtement et dire non. S'il en avait reçu une, il pourrait tout simplement refuser d'y répondre. Cela indiquerait à la personne qu'elle fait l'objet d'une NSL, sans que le FAI n'ait jamais à enfreindre activement la loi.
Ce fut la naissance des canaris mandatés. Tout comme les mineurs n’avaient pas besoin de mourir dans le puits pour que quiconque découvre que l’air était toxique, les entreprises n’étaient pas obligées d’informer explicitement les personnes soumises aux NSL qu’une lettre avait été reçue.
Le canari mort – l’absence de réponse – signalait toutes les informations dont il avait besoin, et le sujet pouvait alors agir de manière appropriée, qu’il s’agisse de recourir à un avocat par anticipation ou de passer à un autre service.
Les bibliothécaires contre le FBI
Les bibliothécaires n’ont peut-être pas la meilleure réputation de sang-froid, mais ils étaient à l’époque l’un des groupes les plus importants à résister aux excès du gouvernement. Ils étaient particulièrement préoccupés par l’article 215 du Patriot Act, qui modifie la FISA. Cet article obligeait les bibliothécaires à remettre les relevés de lecture des personnes faisant l'objet d'une enquête. Ils n’étaient pas autorisés à révéler quand cela s’était produit.
L’un des bibliothécaires les plus éminents à repousser était Jessamyn Ouest . Elle craignait que les changements puissent conduire à toute une série d'abus, notamment le fait que des personnes se retrouvent sur la liste d'interdiction de vol, simplement pour avoir emprunté un livre sur l'Islam.
En réponse, elle a créé une série de signes comme celui-ci :
Le FBI n'est pas là par Jessamyn West sous licence CC0 .
L'idée derrière ces panneaux était d'informer les visiteurs si le FBI s'était rendu à la bibliothèque. S’ils avaient accédé aux documents en vertu d’une ordonnance de non-divulgation, il était interdit aux bibliothécaires d’alerter qui que ce soit.
Cependant, s’ils avaient auparavant apposé une pancarte déclarant que le FBI n’était pas là, rien ne les empêchait de la retirer s’ils venaient. Aucune loi ne les obligeait à mentir. Par conséquent, si un visiteur régulier remarquait un jour que le panneau avait disparu, il saurait que le FBI était là, fouillant les dossiers.
Ces signes agissaient comme des canaris, et ils ont commencé apparaître dans les bibliothèques dans tout le pays.
Cependant, vous remarquerez une différence entre la tactique du bibliothécaire et le système imaginé par Steven Schear. Schear a proposé un système de mandats canaris qui permettrait aux individus de vérifier si leurs propres dossiers ont été consultés par les autorités, tandis que les panneaux de la bibliothèque pourraient uniquement indiquer au public qu'ils sont venus chercher. Leurs pancartes ne pouvaient pas informer la personne spécifique qui était ciblée, mais seulement que le FBI était là.
En plus de cela, ils n’étaient vraiment utiles qu’avant que le FBI ne vienne enquêter sur les dossiers. Après que cela se soit produit une fois, il n’y avait aucun signe supplémentaire à supprimer lors des visites ultérieures du FBI.
Bien que cela ait limité l’utilité des canaris à mandat, c’est la direction dans laquelle ils se sont dirigés à mesure qu’ils ont été plus largement adoptés.
rsync.net
Le premier exemple d'un mandat canari dans sa forme plus moderne a été publié par le fournisseur de stockage cloud rsync.net en 2006. La société a reconnu les dispositions légales relatives aux mandats secrets, ainsi que les sanctions pénales qu'un fournisseur pourrait encourir s'il en révélait un.
Il a déclaré qu'il se conformerait à ces mandats, mais qu'il publierait également des canaris de mandat hebdomadaires signés cryptographiquement, ce qui indiquerait qu'au moment de la publication, aucun mandat n'avait été exécuté et qu'aucune perquisition n'avait eu lieu.
Le canari de rsync.net a demandé aux utilisateurs de prendre note si le message cessait d'être mis à jour, car cela impliquerait que l'entreprise avait été secrètement forcée de remettre des enregistrements.
rLe canari de mandat de sync.net.
Bien que le warrant canary ne soit pas infaillible et puisse être compromis par la coercition (si le gouvernement force secrètement une entreprise à mentir, son warrant canary serait dénué de sens), il visait à faire savoir aux utilisateurs de l'entreprise si le gouvernement avait déjà accédé à un seul enregistrer.
L’un des aspects positifs du canari de garantie de rsync.net est qu’il est mis à jour chaque semaine. Si le gouvernement accède aux archives de l’entreprise, les utilisateurs le sauront très rapidement. Cependant, le mandat d'arrêt ne leur a pas dit qui était le sujet.
rsync.net a continué mandat de détachement canaris jusqu’au moment de la rédaction de cet article, et il indique toujours qu’aucun mandat n’a été émis ni aucune perquisition effectuée dans aucun des sites de l’entreprise.
Prolifération des canaris à mandat
L’approche de rsync.net n’a pas vraiment gagné du terrain dans les années suivantes, mais en 2013, une bombe est tombée. Le lanceur d’alerte Edward Snowden a dévoilé une série de pratiques alarmantes de surveillance de masse, notamment celles de la NSA. PRISME et MUSCLÉ . Ces révélations placent les excès du gouvernement et les atteintes à la vie privée au premier plan des préoccupations de tous.
Au milieu de cette tourmente, Apple est devenu le premier géant de la technologie à adopter un mandat canari fin 2013 . Il a été publié dans le journal de la société premier rapport de transparence , qui détaillait les types de demandes que l'entreprise avait reçues, ainsi que des informations approximatives sur leur nombre.
Son mandat canari était très précis :
Apple n'a jamais reçu d'ordonnance en vertu de l'article 215 du USA Patriot Act. Nous nous attendrions à contester une telle ordonnance si elle nous était signifiée.
Le mandat d'arrêt n'a fait aucune mention de l'article 702 de la loi FISA. Si l’on lit entre les lignes de cette omission, il semble probable que l’entreprise ait été soumise aux ordres du tribunal secret.
Le canari de garantie d'Apple a été bientôt suivi par Reddit , Tumblr et plein d'autres. Même s’il s’agissait certainement d’étapes positives, il était assez difficile pour les gens de suivre tous ces canaris à mandat.
La seule façon pour quiconque de savoir si les autorités ont accédé aux dossiers d'une organisation est d'aller sur le site Web de l'entreprise et de constater que le mandat d'arrêt a cessé d'être mis à jour, ou de capter un reportage faisant état de cette cessation. Il n’y avait pas de centre central.
Montre Canari
Le problème du suivi des mandats Canary a été résolu par Montre Canari . Il a été formé par une coalition d’organisations comprenant l’Electronic Frontier Foundation, la Technology Law and Policy Clinic de l’Université de New York, la Freedom of the Press Foundation et d’autres.
Canary Watch a répertorié les canaris à mandat connus, a autorisé les soumissions de canaris à mandat non répertoriés et a gardé une trace des canaris existants. Il fournissait un emplacement central que les utilisateurs pouvaient visiter pour voir si une certaine organisation disposait d'un mandat Canary et s'il était toujours valide. .
Le site a également servi à sensibiliser les gens aux mandats canaris et aux problèmes de confidentialité qui y sont associés. Le projet s'est terminé environ un an après son démarrage, date à laquelle il comptait près de 70 canaris sous mandat dans sa base de données.
En mai 2016, le Fondation Frontière Electronique a publié un blog déclarant que le projet avait atteint son objectif de populariser le concept des canaris à mandat et que la coalition derrière lui était parvenue à un accord « … que le projet a suivi son cours et est arrivé à un point final naturel ».
Certains canaris mandatés commencent à mourir
Alors que le concept commençait à devenir plus populaire, certains canaris à mandat ont commencé à disparaître. Le canari du mandat d’Apple n'est resté avec nous que très peu de temps. En septembre 2014, GigaOm a remarqué que le canari à mandat avait déjà disparu.
En 2016, Reddit a également négligé de mettre à jour son mandat Canary. Il n’a fait aucune annonce publique concernant l’abandon du mandat Canary, mais un utilisateur a remarqué son absence dans un fil de discussion sur le dernier rapport de transparence. Le PDG de Reddit, u/spez, a ajouté encore plus de mystère à la situation en précisant : « On m'a conseillé de ne rien dire dans un sens ou dans l'autre. »
Cela a suscité une large attention à la fois sur Reddit et sur les sites d'actualités technologiques, le blog de l'EFF sur la conclusion de Canary Watch mentionnant la situation de Reddit comme une raison probable de l'énorme croissance des recherches Internet liées aux mandats Canary.
Cercle silencieux
La société de communications sécurisées Silent Circle s'est également retrouvée au cœur d'une controverse mineure. À la fin de 2014 Actualités des pirates a commencé à spéculer sur la raison pour laquelle son mandat Canary était obsolète. De nombreux commentateurs ont supposé que l'expiration était simplement due au fait que le mandat fonctionnait comme prévu et que Silent Circle avait reçu un ordre bâillonné de transmettre les données des utilisateurs.
Peut-être que c'était le cas. Mais il est aussi possible que ce ne soit pas le cas. Et si l’entreprise oubliait tout simplement ?
Au milieu des commentaires suspects et pour la plupart négatifs, un utilisateur prétendant représenter rsync.net a affirmé que sa société avait manqué sa date de publication normale environ 10 à 15 fois au cours des neuf années pendant lesquelles elle avait mis à jour son canari. Si l’on en croit ce commentaire, il semble alors raisonnable de supposer que les entreprises peuvent tout simplement oublier, surtout en période de forte activité.
Le canari de mandat a ensuite été mis à jour, mais en mars de l'année suivante, il y a eu une autre débâcle lorsqu'il a été mis à jour. souligné que la dernière version du mandat Canary ne contenait pas de déclaration claire indiquant que la société n'avait reçu aucune commande bâillonnée jusqu'à cette date.
L'entreprise bientôt résolu le problème , mais environ un an plus tard, il a complètement supprimé son mandat Canary . L'avocat général de la société, Matt Neiderman, a déclaré qu'elle n'avait reçu aucun mandat secret et l'avait simplement supprimée pour des raisons commerciales.
Directeur de la stratégie de Silent Circle Vic Hyder a ensuite expliqué :
« La principale raison pour laquelle nous l'avons supprimé est que cela n'apportait que peu d'avantages à nos entreprises clientes, avec lesquelles nous avons des contrats… Nous ne pouvons pas, littéralement, fournir un accès aux données cryptées, qu'il s'agisse de messages ou de voix. Nous n'enregistrons pas non plus l'utilisation du service, et les seules autres informations que nous conservons sont les données client principalement à des fins de facturation. Le canari représentait un besoin de maintenance inutile que nous avons fermé il y a près de deux ans, je crois.
Cela a déclenché une autre tempête auprès des utilisateurs et des commentateurs. Mais que devons-nous penser de toute la situation ?
C'est vraiment difficile à dire. Peut-être que le déroulement des événements était la façon dont l’entreprise a géré un mandat bâillonné. Peut-être qu'il n'y avait pas de mandat et que toute la situation n'était qu'un certain nombre d'erreurs qui ont causé tellement de mauvaise publicité que les dirigeants ont simplement pensé : « On s'en fout. Ce mandat d’arrêt pose plus de problèmes qu’il n’en vaut la peine.
Quoi qu’il en soit, l’entreprise aurait certainement pu mieux gérer la situation. S’il avait reçu un mandat à un moment donné, il aurait dû immédiatement arrêter de le mettre à jour, et le silence aurait suffi aux utilisateurs pour se faire une idée.
Franchement, la façon dont la situation a été gérée et les déclarations de l’entreprise à ce sujet ont fait du warrant canary un handicap. . La sécurité nécessite la confiance dans les prestataires de services, et les erreurs de Silent Circle sèment le doute parmi leurs utilisateurs, dans la presse technologique et en ligne. La situation de Silent Circle est un bon exemple si un mandat de souscription n’est pas administré correctement, cela ne vaut probablement pas les retombées possibles pour l’entreprise.
Mais le canari de garantie de Silent Circle a-t-il été utile à ses utilisateurs ?
Pas vraiment. Toute la situation ne leur permet pas de savoir grand-chose. Bien sûr, le mandat d'arrêt a été supprimé, mais nous ne pouvons jamais être sûrs à 100 pour cent de la raison . Si l’entreprise n’avait reçu aucun mandat bâillonné et que les événements étaient uniquement dus à ses propres erreurs, elle avait une raison commerciale légitime d’abandonner le mandat d’arrêt – pour mettre fin à la publicité négative.
D’un autre côté, l’entreprise a peut-être reçu un mandat bâillonné pour les données des utilisateurs et a-t-elle utilisé l’excuse des « raisons commerciales » pour sauver sa réputation et fidéliser ses clients.
En tant qu’étrangers, nous ne saurons probablement jamais ce qui s’est réellement passé, alors que doivent faire les utilisateurs actuels ou potentiels des produits Silent Circle ?
La décision prudente serait de supposer le pire, juste pour être sûr. Mais si nous supposons que les dossiers d’une entreprise ont été consultés, quelle est la prochaine étape logique ?
Que devez-vous faire si le mandat Canary de votre fournisseur de services expire ?
Ainsi, votre fournisseur de services a cessé de mettre à jour son mandat Canary, ce qui vous amène à supposer que les dossiers d’au moins une personne ont été consultés par le gouvernement. Vous ne savez pas si vos enregistrements sont impliqués, même si, pour une grande entreprise, il est statistiquement peu probable que vos enregistrements soient les premiers.
Vous ne pouvez pas savoir combien de dossiers ont été consultés ni si les agences gouvernementales continuent d’accéder à ces dossiers. Les canaris de mandat ne fonctionnent qu’une seule fois et ne vous laissent pas beaucoup d’informations.
Vos options sont soit de rester sur le service, malgré l'absence de mandat, soit de passer chez un concurrent. Si vous déménagez chez un concurrent avec un canari de garantie intact, il ne peut toujours pas vous offrir de protection supplémentaire.
Ce n’est pas parce qu’une entreprise dispose toujours de son mandat Canary que les forces de l’ordre pourront commander tous les documents qu’elles souhaitent à l’avenir. Au mieux, tout ce qu'un concurrent peut faire, c'est vous dire si ou quand le gouvernement viendra frapper à votre porte pour la première fois. . C’est le seul véritable avantage dont il dispose par rapport à un fournisseur qui n’a plus son warrant canary. Il ne peut vous offrir aucune information supplémentaire
Vous pourriez continuer à vous tourner vers de nouveaux fournisseurs de services chaque fois que l’un d’entre eux perdait son mandat, mais cela ne donne pas vraiment grand-chose. Il punit également les entreprises honnêtes qui abandonnent leurs mandats d'arrêt lorsqu'elles reçoivent des ordres de bâillon, car elles n'obtiendront plus vos futures affaires.
Ce n’est pas parce qu’une entreprise a reçu une commande qu’elle a fait quelque chose de mal ou qu’elle ne se soucie pas de votre vie privée. . S’il reçoit une commande, il ne peut pas faire grand-chose. Une entreprise peut faire appel, mais si l'ordonnance a été émise en secret, l'appel doit l'être également.
Dans de nombreux cas, les entreprises perdront leur recours. À ce stade, tout ce qu'une entreprise peut faire, c'est céder et démolir son mandat, ou le défier et faire face à des accusations criminelles. . Elle pourrait également choisir de fermer complètement son service, mais cela pourrait quand même entraîner des frais.
Juste regarde à ce qu’a vécu le propriétaire de Lavabit lorsqu’il a fermé son entreprise pour défier un ordre. En raison de l’enjeu, la plupart des entreprises finiront par s’y conformer, même si elles souhaiteraient ne pas avoir à le faire.
L’autre chose à considérer est qu’il est logique que les autorités s’adressent en premier aux entreprises ayant les plus grandes bases d’utilisateurs et le plus de données. Ces entreprises sont les plus susceptibles de détenir des informations utiles dans une enquête.
Par conséquent, les plateformes les plus populaires allaient d’abord perdre leurs mandats canaris. Même s’il existe encore un certain nombre de petites entreprises qui maintiennent leurs mandats canaris, c’est probablement parce qu’elles ne disposent pas de beaucoup de données que les autorités souhaitent. Cela ne signifie pas qu’ils offrent des protections supplémentaires.
Ceux qui ont des canaris intacts ne sont pas nécessairement des bastions de la vie privée. Ils ne sont peut-être tout simplement pas sur le radar des forces de l’ordre.
Les canaris de garantie fonctionnent-ils vraiment ?
Pour qu'un mandat canari fonctionne, il repose sur la présomption selon laquelle le gouvernement ne peut contraindre une personne ou une entité à mentir . Cependant, les spécificités des canaris mandatés n’ont jamais été ouvertement mises à l’épreuve devant les tribunaux.
Nous je ne peux pas être certain que le gouvernement n’a pas ou ne veut pas secrètement contraindre les entreprises à continuer de mettre à jour leurs mandats malgré qu’un ordre ait été émis. En raison du secret inhérent à bon nombre de ces commandes, cela n’est pas hors de portée. En substance, nous ne pouvons pas savoir avec certitude si le gouvernement a forcé ou non les organisations à mentir au sujet de leurs mandats canaris.
L’utilité des mandats canaris a été remise en question par certains des plus éminents experts en matière de sécurité et de confidentialité. Cryptographe renommé Bruce Schneier déclaré:
«…Je n'ai jamais cru que cette astuce fonctionnerait. Elle repose sur le fait qu’une interdiction de parler n’empêche pas quelqu’un de ne pas parler. Mais les tribunaux ne sont généralement pas impressionnés par ce genre de choses, et je peux facilement imaginer un mandat secret qui inclut une interdiction de déclencher le mandat canari. Et pour autant que je sache, il existe actuellement des procédures judiciaires secrètes sur cette question précise.
Fondateur et PDG de Signal Moxie Marlinspike a exprimé des sentiments similaires :
'S’il est illégal d’annoncer que vous avez reçu une ordonnance du tribunal, il est illégal de prendre intentionnellement et sciemment toute mesure ayant pour effet d’annoncer la réception de cette ordonnance. Un juge ne peut pas vous forcer à faire quoi que ce soit, mais tous les avocats à qui j'ai parlé ont indiqué que le fait de supprimer un « canari » ou de choisir de ne pas mettre à jour aurait probablement les mêmes conséquences juridiques que la simple publication de quelque chose qui dit explicitement que vous » J'ai reçu quelque chose… »
Rapports de transparence
Alors que l’efficacité des mandats canaris faisait l’objet de vifs débats, un concept connexe a également commencé à gagner du terrain. Le premier rapport majeur sur la transparence a été publié par Google en septembre 2010 .
Il présentait une carte interactive qui permettait aux utilisateurs de voir quels gouvernements dans le monde exigeaient que Google supprime du contenu, où les services Google étaient bloqués et quels les gouvernements avaient demandé des informations sur les utilisateurs .
Même si la carte interactive d'origine n'est plus disponible (Google a restructuré sa outils de reporting de transparence ), un Article écrasable nous dit qu'il incluait le nombre total de demandes gouvernementales par pays et par quel service (Gmail, YouTube, etc.).
L'article indique qu'il y a eu 4 287 demandes d'informations sur les utilisateurs de la part du gouvernement des États-Unis au cours du premier semestre. Ce chiffre incluait tous les types de demandes mais excluait celles avec des ordres de silence. Mashable a souligné que la FAQ de Google indiquait :
'Nous aimerions pouvoir partager davantage d’informations, notamment le nombre de fois où nous avons divulgué des données en réponse à ces demandes, mais ce n’est pas une tâche facile… »
Toutefois, dans cette première édition du rapport de transparence, Google n'a pas précisé à combien de ces demandes il avait accédé.
Dans Article de blog de Google annonçant le rapport de transparence, il a déclaré :
« Nous considérons cela comme une mesure concrète qui, nous l’espérons, encouragera les entreprises et les gouvernements à faire preuve de la même transparence. »
Dans le rapport ultérieur de Google, qui recensait le nombre de demandes entre juillet et décembre 2010, il incluait le pourcentage de demandes auxquelles l'entreprise s'était conformée. Sur les 4 601 demandes reçues des autorités américaines, il était conforme 94 pour cent .
Les rapports sur la transparence commencent à gagner du terrain
Inspiré par Google, Twitter a lancé son propre rapport sur la transparence en 2012. Le rapport de Twitter inclus des informations sur le nombre de :
- Demandes gouvernementales reçues pour obtenir des informations sur les utilisateurs,
- Demandes gouvernementales reçues pour retenir le contenu, et
- Avis de retrait DMCA reçus des détenteurs de droits d'auteur.
Il comprenait des données du monde entier, mais nous nous en tiendrons aux chiffres américains. Sur les 679 demandes que Twitter a reçues des autorités américaines, il a répondu à 75 %.
À la suite des révélations d’Edward Snowden, de nombreuses autres entreprises ont commencé à suivre l’exemple de Google et Twitter. . Bien sûr, il s’agissait probablement en grande partie d’une campagne de relations publiques après que la confiance des gens dans les entreprises technologiques ait pris un coup dur, mais nous avons maintenant des rapports de transparence émanant de sociétés comme Facebook , Microsoft , Uber , Pomme et beaucoup plus.
Les rapports de transparence sont généralement rédigés de la propre initiative d’une entreprise. Il n’existe donc aucune réglementation sur la manière dont ils doivent être structurés. Alors que certaines entreprises créent des cartes et des outils interactifs comme le fait Google, beaucoup d’autres les publient simplement sous forme de simples rapports écrits.
Chaque entreprise proposera des services différents, collectera des données de différentes manières et recevra diverses demandes des forces de l'ordre. Ils ont également leurs propres motivations pour publier les rapports, de sorte qu'ils peuvent finir par inclure différents types d'informations. Certaines sociétés incluent les warrants canaris dans leurs rapports de transparence, mais la plupart des grands noms ne le font pas.
Apporter plus de détails aux rapports de transparence
Jusqu’à présent, les entreprises étaient limitées dans ce qu’elles pouvaient révéler dans leurs rapports de transparence. S'ils recevaient des ordres secrets, ils ne pouvaient les inclure dans les rapports que si le bâillon était expiré. Ils indiquaient pour la plupart le nombre total de demandes reçues, sans beaucoup d'informations sur le type de demandes ou leurs quantités relatives.
En mars 2013—avant Snowden— Google a conclu un accord avec les autorités américaines et est devenue la première entreprise à obtenir l'autorisation de publier le nombre de lettres de sécurité nationale qu'elle a reçues, mais uniquement dans de larges fourchettes.
Dans un blog publié Selon le directeur juridique Richard Salgado, la société a déclaré avoir publié les chiffres sous forme de fourchettes plutôt que de chiffres exacts pour « ... répondre aux préoccupations soulevées par le FBI, le ministère de la Justice et d'autres agences selon lesquelles la publication de chiffres exacts pourrait révéler des informations sur les enquêtes. »
Dans le rapport de transparence de Google, l’entreprise a révélé avoir reçu entre 0 et 999 lettres de sécurité nationale chaque année. Ces lettres étaient liées à :
- 1000-1999 comptes en 2009.
- Comptes 2000-2009 en 2010.
- 1000-1999 comptes en 2011.
- 1000-1999 comptes en 2012.
Plus tard dans l’année, à la suite des révélations de Snowden en 2013, Google a émis une lettre aux bureaux du FBI et du procureur général, dans ce qui semblait être une tentative de se distancier de la perception du public selon laquelle il transmettait sans discernement des données au gouvernement.
La lettre soulignait que les obligations de non-divulgation des demandes de la FISA alimentaient les spéculations négatives et demandait l'autorisation de publier le nombre total de demandes de sécurité nationale, y compris les ordonnances de la FISA. Google a demandé à pouvoir inclure à la fois le nombre de demandes qu'il reçoit et leur portée dans ses rapports de transparence.
D'ici septembre, Google, Microsoft, Facebook et Yahoo! avait déposé des requêtes avec le tribunal de la FISA, demandant à être autorisés à révéler plus de détails sur le nombre d'ordonnances de la FISA qu'ils recevaient.
Début 2014, cela a abouti à une accord entre le ministère de la Justice et ces quatre sociétés, ce qui leur a permis de divulguer le nombre d'ordonnances FISA qu'elles ont reçues au total, mais avec un délai de six mois et uniquement par tranches.
Avec ce jugement, les entreprises ont révélé que pour la période de janvier à juin 2013 :
- Google a fourni au gouvernement les métadonnées de 0 à 999 comptes et le contenu des communications de 9 000 à 9 999 comptes.
- Microsoft a reçu moins de 1 000 commandes de métadonnées, ainsi que moins de 1 000 commandes de contenu de communication, liées à entre 15 000 et 15 999 comptes.
- Yahoo! a fourni au gouvernement des métadonnées pour moins de 1 000 comptes et du contenu de communication entre 30 000 et 30 999 comptes.
- Facebook a transmis les métadonnées des clients de 0 à 999 comptes, tandis qu'il a divulgué les données de contenu de 5 000 à 5 999 comptes.
En 2015, l'article 603 de la Loi sur la liberté aux États-Unis a codifié une grande partie de cela dans la loi, offrant quatre méthodes de déclaration différentes à ceux qui sont soumis aux exigences de non-divulgation de la FISA.
Les entreprises étaient autorisées à divulguer le nombre total de commandes, de directives ou de lettres reçues sur une base semestrielle ou annuelle. Cependant, ils se limitaient encore à communiquer ces chiffres en larges tranches, plutôt que le nombre précis de demandes reçues.
En 2014, Twitter a déposé un dossier affirmant qu'elle avait le droit, en vertu du premier amendement, de partager le nombre total d'ordres de surveillance qu'elle avait reçus sur une période de six mois. Il cherchait également à affirmer son droit divulguer si ce n'était pas le cas reçu certaines commandes - en fait se battre pour affirmer son droit de publier des mandats canaris .
Cette affaire faisait suite à la soumission par Twitter en 2014 de son rapport de transparence au FBI. Le rapport contenait le nombre d'ordres de surveillance secrets qu'il avait reçus et a finalement été censuré.
Cette censure a déclenché une bataille juridique de six ans, qui s’est finalement terminée en avril 2020 lorsque le juge a accepté l’affirmation du gouvernement selon laquelle les secrets d’État contenus dans ses déclarations ne devaient pas être transmis aux avocats de Twitter pour des raisons de sécurité nationale. Le juge a ensuite estimé que ces préoccupations étaient suffisantes pour justifier la censure du projet de rapport de transparence de Twitter de 2014.
Au cas où ce ne serait pas clair, le conseiller juridique de Twitter n’a même jamais pu voir les déclarations, malgré ses habilitations de sécurité de haut niveau. Le juge s’est rangé du côté du gouvernement, même si Twitter n’a jamais compris pourquoi.
Les rapports de transparence sont-ils plus utiles que les canaris à mandat ?
Dans le cas des grandes entreprises qui reçoivent fréquemment de telles demandes, cela fait un moment que les canaris de mandat ne sont plus en mesure de fournir des informations très utiles. Même si certains d’entre eux avaient des mandats canaris dans le passé, une fois qu’ils recevaient des demandes secrètes, ils ne pouvaient plus les afficher. les canaris de garantie n'étaient plus un moyen pour eux d'afficher des informations à leurs utilisateurs .
Les circonstances sont différentes pour les petites entreprises dont les informations ne semblent pas aussi appréciées par les autorités. Si un canari de mandat est toujours régulièrement mis à jour et qu’il n’y a pas eu d’événements étranges, alors ils font généralement du bon travail en informant les utilisateurs que l’entreprise n’a pas reçu d’ordre de silence.
Même si bon nombre de ces petites entreprises font un excellent travail en essayant de garder leurs utilisateurs aussi informés que possible, la réalité est que la plupart des gens ont probablement de vastes quantités de données cachées sur les serveurs de ces grandes entreprises qui n'ont plus de garanties canaris.
Dans ces situations, les rapports de transparence sont notre seul espoir d’obtenir des données solides. Mais même les informations que ces entreprises affichent dans leurs rapports de transparence peuvent ne pas être particulièrement utiles.
Nous pouvons suivre les rapports de chaque entreprise année après année, pour voir si le nombre de demandes qu’elle reçoit augmente. Nous pouvons également consulter les statistiques de différents pays et voir quels gouvernements sont les plus exigeants. Nous pouvons également examiner quelles entreprises ont les taux les plus élevés de respect des ordonnances gouvernementales.
Mais bon nombre de ces chiffres n’offrent pas beaucoup d’informations pratiques sur lesquelles nous pouvons agir. Bien sûr, nous pouvons voir si les gouvernements deviennent de plus en plus avides de données. Mais ces chiffres nous disent-ils vraiment quelque chose sur l’entreprise et son attitude en matière de protection de ses utilisateurs ?
Certaines entreprises peuvent recevoir beaucoup plus de demandes que d’autres parce qu’elles disposent des types de données les plus utiles aux enquêtes. Ou bien, ils peuvent avoir des proportions plus élevées d’activités criminelles sur leurs plateformes. Le nombre total de demandes ne nous dit pas nécessairement grand-chose à lui seul.
De même, le pourcentage de cas dans lesquels une entreprise se conforme aux autorités peut être un indicateur de sa volonté de défendre ses utilisateurs. Mais il peut également y avoir certaines raisons juridiques pour lesquelles une entreprise doit céder plus qu’une autre. Sans aucun contexte au cas par cas, les informations que nous obtenons de ces rapports ne sont pas suffisamment claires pour nous aider à prendre des décisions.
Même si nous pouvions clairement déterminer quelles entreprises sont les moins susceptibles de protéger leurs utilisateurs, que ferions-nous à ce sujet ? Passer chez un concurrent ? Si cette nouvelle entreprise collectait et stockait les données de la même manière, elle ne pourrait pas faire grand-chose pour nous protéger si les forces de l’ordre frappaient vraiment à leurs portes pour récupérer ces données.
Soyons réalistes, la plupart des entreprises ne prendront pas de risques pour protéger un utilisateur. La seule fois où une entreprise a fermé ses portes au lieu de se conformer a été le fiasco de Lavabit que nous avons mentionné plus tôt, et c'était uniquement parce que le gouvernement voulait un accès qui pourrait compromettre les données de chaque utilisateur de Lavabit.
L’argument n’est pas que cette situation juridique soit acceptable – ce n’est pas le cas. Il faut beaucoup plus de transparence dans toutes ces enquêtes et procédures judiciaires. Certains pouvoirs devraient également être supprimés. En fait, c’est l’ensemble du système et de sa régulation qui a probablement besoin d’une refonte.
Mais c’est la situation dans laquelle nous nous trouvons actuellement, et il ne semble pas y avoir de changements majeurs qui nous protégeront à l’horizon. La réalité est que ni les rapports de transparence ni les garanties ne font grand-chose pour nous aider.
Existe-t-il de meilleures alternatives
Nous vivons une époque sans précédent. Aucune entreprise n’a jamais détenu autant d’informations sur nous que ces géants de la technologie, et tout cela peut être transmis au gouvernement, sans que nous le sachions.
Autrefois, vous le sauriez probablement si le gouvernement fouillait votre maison. Nos profils en ligne peuvent contenir des informations beaucoup plus intimes, et tout cela est équitable, souvent sans aucun contrôle judiciaire.
Mais il y a eu une proposition sur la façon dont nous pourrions être informés si nos dossiers en ligne sont consultés. Cependant, ce projet repose sur des fondements juridiques douteux et n’a pas encore été mis en œuvre.
Canaris à mandat granulaire
Comme nous l’avons discuté, les canaris ne nous en disent pas vraiment grand-chose. Si une plate-forme compte des milliers ou des millions d’utilisateurs et que son canari de garantie disparaît, vous ne savez pas s’il s’agit uniquement des enregistrements d’une seule personne ou de plusieurs enregistrements. Vous ne savez certainement pas s’il s’agit de vos propres informations.
Mais si l’on se souvient de l’homme qui a inventé le concept derrière les mandats canaris – Steven Schear – il a initialement décrit un système par utilisateur. N'importe qui pourrait appeler son FAI et demander si ses dossiers individuels ont été consultés . Si l’employé disait « Non », il était en sécurité, mais un manque de réponse signifierait que les dossiers ont effectivement été consultés.
Au moins dans ce type de configuration, une personne pourrait savoir si elle faisait l'objet d'une enquête, ce qui semble bien plus utile que de simplement savoir que quelqu'un dans la base d'utilisateurs a eu accès à ses dossiers.
Bien que devoir appeler pour vérifier auprès d'une entreprise serait un problème à la fois pour l'utilisateur et pour l'entreprise, il semble au moins possible pour ces plates-formes d'inclure un avis « Vos données n'ont été consultées par aucun organisme chargé de l'application de la loi » sur l'utilisateur. profils. Si jamais les entreprises recevaient une demande des autorités, elles pourraient simplement supprimer cet avis. Cela alerterait l’utilisateur, sans que l’entreprise ne dise explicitement quoi que ce soit.
Bien qu’une telle chose soit techniquement réalisable, elle n’a encore été mise en œuvre par aucune organisation. Des mandats encore plus larges reposent sur des bases juridiques fragiles, de sorte que les mandats personnalisés pourraient mettre les entreprises en difficulté.
Les fondements juridiques des canaris de mandat granulaire
Un article de 2015 publié dans le Journal de droit et technologie de Harvard a examiné comment les tribunaux considéreraient les canaris de mandat personnalisés. Il a déclaré que ce type de mandat granulaire était le plus susceptible de compromettre les enquêtes de sécurité nationale «… parce qu'ils pouvaient alerter leur cible d'une enquête sur la recherche du gouvernement, incitant cette personne à cesser d'utiliser le service ciblé et à tenter d'effacer ses informations à partir de là.
Il ajoute ensuite que le gouvernement a tout intérêt à empêcher que cela se produise et conclut que les tribunaux seraient moins susceptibles de juger ces canaris légaux .
L'article indiquait que les mandats canaris sont soumis à une analyse de sécurité stricte « moyens-fins », et que « Il est peu probable que les tribunaux appliquent la protection du premier amendement à l’hypothétique canari qui fournit des notifications quotidiennes personnalisées aux comptes d’utilisateurs individuels, étant donné les dommages réels qu’il pourrait infliger à une enquête légitime. .»
Il a comparé les canaris à mandat personnel aux canaris à mandat plus larges, concluant que les canaris à mandat qui ne nuisent pas aux intérêts de sécurité nationale du gouvernement sont « presque certainement » protégés par le premier amendement.
L’idée de canaris de warrants granulaires jusqu’au niveau individuel existe depuis le tout début, et il serait trivial pour les entreprises de mettre en œuvre de tels systèmes.
Cependant, nous n’avons encore vu aucune organisation en créer un. Il semble que les entreprises aient trop peur des conséquences juridiques potentielles pour le faire. . S’il n’y avait pas un tel nuage gris juridique planant au-dessus de leurs têtes, on pourrait penser qu’au moins une entreprise tenterait de personnaliser les canaris pour se démarquer de la foule.
Utiliser des prestataires de services qui stockent vos données dans d'autres juridictions juridiques
Si les canaris de mandats personnalisés ne semblent pas être sur la table, alors pourquoi ne pas garder vos données hors de leur portée ?
Vous devrez choisir un fournisseur basé dans un pays qui ne collabore pas avec votre propre pays dans les enquêtes, ou un fournisseur dont la procédure juridique est beaucoup plus stricte. Si vous résidez aux États-Unis, vous préférerez probablement rester à l’écart des autres pays des Five Eyes, car leurs services de renseignement ont tendance à travailler en étroite collaboration. Il est probablement préférable de rester à l’écart des pays autoritaires et de ceux qui ne bénéficient pas d’une procédure régulière.
Les pays dotés de certaines des meilleures lois sur la confidentialité comprennent Estonie et Islande . Si vous utilisez des services basés et stockant leurs données dans ces pays, vous bénéficierez d’une plus grande protection contre les forces de l’ordre curieuses.
Ne leur donnez pas de données en premier lieu
Si vous êtes vraiment préoccupé par le fait que le gouvernement utilise ces pouvoirs pour collecter secrètement vos données et les utiliser contre vous, les mandats canaris et les rapports de transparence ne feront pas grand-chose pour vous aider.
Vous pouvez utiliser les services d'entreprises qui ont encore des canaris intacts, mais si le gouvernement veut vraiment vos données, vous pourriez être cette personne spéciale dont la demande de données finit par tuer le canari. Les mandats canaris ne peuvent tout simplement pas vous protéger si les autorités veulent suffisamment vos informations.
La seule façon de véritablement protéger vos données est de minimiser la quantité qui finit entre les mains des entreprises. Il faudrait un autre article aussi long que celui-ci pour décrire toutes les subtilités, mais voici quelques conseils de base :
- Utilisez Signal au lieu de Facebook Messenger
- Utilisez DuckDuckGo au lieu de Google
- Utiliser TOR pour les activités Web sensibles
- Utilisez un VPN sans journalisation
- Verrouillez votre navigateur
- Évitez les réseaux sociaux
Ce qui précède n’est qu’un début. Certaines sources d'informations plus complètes sont outils de confidentialité.io et RUPTURE DE PRISME . Échapper à la collecte de données et à la capacité du gouvernement à accéder à vos informations est un processus long, compliqué et ardu.
La plupart d’entre nous ne pousseront jamais les choses à l’extrême, mais même quelques changements simples peuvent réduire considérablement les informations collectées sur vous et la quantité de données qui pourraient se retrouver entre les mains des autorités.