Le warrant canary.
Une déclaration dont l'absence parle. Publiée quand rien n'est arrivé, retirée quand l'opérateur ne peut plus le dire.
Une déclaration publiée régulièrement affirmant que le publieur n'a reçu aucune demande légale secrète — gag orders, National Security Letters, mandats scellés — jusqu'à cette date. Quand la déclaration disparaît ou cesse d'être mise à jour, son absence est elle-même le signal : le mensonge contraint est illégal dans la plupart des juridictions, mais le silence contraint ne l'est pas.
Le signal que nous publions jusqu'à ce que nous ne puissions plus.
Un hébergeur privacy-first qui vous demande de le croire sur parole a déjà perdu l'argument. Tout opérateur d'infrastructure au-dessus d'une certaine échelle recevra, tôt ou tard, une forme de demande de divulgation contrainte — assignation, préservation order, national-security letter — et l'opérateur sous bâillon est, par définition, incapable de vous le dire. Le warrant canary est le contournement : nous publions une déclaration positive sur un calendrier fixe disant que rien de tel n'est arrivé, et nous continuons à la publier jusqu'au jour où nous ne pouvons plus.
Le canary de NordBastion vit à /warrant-canary/ et est réémis le premier jour ouvré de chaque mois, co-signé par deux directeurs nommés de NordBastion OÜ avec leurs clés PGP personnelles. Le texte signé incorpore le hash de bloc Bitcoin le plus récent, ce qui ferme l'attaque triviale de pré-signature — la déclaration n'a démontrablement pas pu être signée avant que ce bloc ne soit miné. Les mois passés sont conservés sur la page indéfiniment ; rien n'est jamais retiré silencieusement.
Si le canary n'apparaît pas dans les sept jours de sa date prévue, ou si la signature PGP cesse de valider, la réponse appropriée dépend de votre modèle de menace. Nous n'expliquerons pas un canary manquant — c'est tout l'intérêt. Nous ne publierons cependant jamais un faux.
Suivez le canary à travers NordBastion.
- · /warrant-canary/ — le canary lui-même, avec tous les mois précédents et les signatures PGP.
- · /transparency/ — rapport de transparence glissant de 12 mois avec les comptages agrégés que le canary ne fournit pas.
- · /doctrine/ — les principes opérationnels qui ont mis le canary sur le calendrier de publication en premier lieu.
- · /pgp/ — les deux empreintes PGP des directeurs utilisées pour signer chaque canary, plus les instructions pour vérifier localement.
- · / — la page d'accueil pointe vers le dernier canary depuis la bande transparence.
Questions sur le canary, répondues.
Un canary manquant a-t-il une signification juridique ?
Dans la plupart des juridictions de common law, oui — bien que la signification soit indirecte. Une gag order peut contraindre un opérateur à rester silencieux sur une demande spécifique, mais elle ne peut généralement pas le contraindre à mentir activement en publiant un démenti faux. Donc un opérateur qui cesse de publier — ou retire le canary précédemment publié — ne viole pas la gag, mais l'audience est libre de tirer l'inférence évidente. Certaines juridictions (notamment la France pour certaines demandes de sécurité nationale) ont une jurisprudence ambiguë ; NordBastion publie depuis l'Estonie précisément pour éviter ces zones grises.
Qui signe le canary ?
Deux directeurs nommés de NordBastion OÜ co-signent le canary mensuel avec leurs clés PGP personnelles. Les empreintes sont épinglées dans /pgp/, et la déclaration signée est miroitée vers un dépôt Git tiers pour que quiconque puisse vérifier que le fichier n'a pas été édité silencieusement après publication. La vérifier localement, c'est deux commandes : gpg --verify et une comparaison sha256sum contre le tag Git.
À quelle fréquence est-il mis à jour ?
Une fois par mois, le premier jour ouvré, avec une référence au hash du bloc Bitcoin précédent à l'intérieur du texte signé. L'inclusion du hash de bloc prouve que la déclaration n'a pas pu être pré-signée à l'avance — elle a forcément été signée après que ce bloc ait été miné, donc la date est ancrée cryptographiquement. Les canaries passés restent sur /warrant-canary/ indéfiniment ; rien n'est jamais retiré silencieusement.
Que signifie le silence en pratique ?
Si le canary mensuel n'apparaît pas dans les sept jours de sa date prévue, ou si la page est retirée, ou si la signature PGP cesse de valider, traitez cela comme un signal que quelque chose de matériel a changé — très probablement une demande légale que les directeurs sont bâillonnés à décrire. La réponse appropriée dépend de votre modèle de menace : passer à un nouvel hébergeur, migrer les clés, ou simplement noter la date pour les archives publiques. NordBastion n'expliquera jamais un canary manquant, par conception.