Le célèbre forum Reddit a fait savoir subtilement à ses utilisateurs qu’il a dû communiquer pour la première fois des informations aux services de renseignement américains sur un ou plusieurs de ses utilisateurs, à travers une procédure confidentielle qui lui interdirait normalement d’en parler.
Le site a en effet publié lundi son nouveau « rapport de transparence » annuel, dans lequel il rend compte de manière chiffrée du nombre de demandes de communications de données qu’il reçoit de différents pays, et de la part des demandes auxquelles il a répondu favorablement. En principe, il s’agit de demandes qui émanent de la justice ou des autorités administratives (au passage, signalons que la France n’a rien demandé à Reddit en 2015).
Mais la loi américaine autorise également des demandes dites sous « gag order », qui doivent rester secrètes, au point que même dire que de tels ordres ont été reçu est illégal. Il s’agit de demandes formulées par les services de renseignement américains.
Le canari est mort
Pour répondre à cette problématique, Apple avait inventé en 2013 le mécanisme du « warrant canary », ou « canari d’alerte ». L’idée est inspirée par les canaris des mineurs, qui mourraient quand l’air était vicié. Il s’agit d’afficher clairement un message qui dit que l’on n’a reçu aucun ordre des services de renseignement, et de supprimer ce message le jour où l’on n’a plus le droit de dire que l’on a reçu un tel ordre.
L’idée a été reprise par de nombreux services en ligne (CanaryWatch en dresse une liste), dont Reddit. En 2014, son rapport annuel affirmait que « au 29 janvier 2015, reddit n’a jamais reçu de Lettre de Sécurité Nationale, un ordre émis en vertu du Foreign Intelligence Surveillance Act, ni aucune autre requête classée concernant des données d’utilisateurs ». Or cette phrase a disparu du rapport 2015. Le canari est mort.
« Si nous recevions une telle requête, nous chercherions à faire savoir au public qu’il a existé », disait aussi le rapport 2014.
Interrogé sur la suppression de ce passage dans le nouveau rapport, le directeur de Reddit Steve Huffman a répondu que « même avec les canaris nous marchons sur une ligne jaune », avant de préciser qu’on lui a « conseillé de ne rien dire d’une manière ou d’une autre ».
Cette phrase ne figure plus au rapport de transparence 2015.
Reddit n’est pas le premier à tuer ainsi son canari d’alerte. L’an dernier, le service de messagerie Surespot avait usé du même procédé pour prévenir qu’il n’était plus sûr. Mais c’était alors avec la complicité d’un blogueur, qui demandait régulièrement au service s’il avait reçu des « gag orders » de la part des services de renseignement.
Surespot répondait régulièrement, par la négative, jusqu’au jour où il n’a plus répondu du tout.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
