Cloudflare élargit son mandat gouvernemental canaris
Lorsque le gouvernement vient chercher vos données, les entreprises de technologie ne peuvent pas toujours vous le dire. Mais grâce à une échappatoire légale, les entreprises peuvent dire si elles n’ont pas encore eu de visite
Cela ouvre la porte à une clause intéressante qui permet aux entreprises d’avertir silencieusement les clients lorsque le gouvernement vient secrètement perquisitionner sa réserve de données sur les clients sans violer un ordre de bâillon. En vertu des lois américaines sur la liberté d’expression, les entreprises peuvent dire publiquement que ” le gouvernement n’est pas venu ici ” lorsqu’il n’y a pas eu de demande de données, mais elles sont autorisées à retirer des déclarations lorsqu’un mandat est présenté comme un avertissement à quiconque y prête attention.
A découvrir également : Apple confirme son intention de fermer des magasins de détail dans le district de l'Est du Texas, favorisé par les trolls de brevets.
Ces soi-disant “canaris de mandat” – du nom du pauvre canari dans la mine, qui meurt lorsqu’il y a du gaz que l’être humain ne peut pas voir – sont un outil de transparence clé que les entreprises qui se concentrent principalement sur la vie privée utilisent pour tenir leurs clients au courant de ce qui se passe en coulisse.
Là où les entreprises ont abandonné leurs canaris ou cédé à la pression légale, Cloudflare est à contre-courant de la tendance.
A découvrir également : La responsabilité d'un avenir numérique durable
Le géant du réseautage et du réseau de diffusion de contenu a déclaré dans un billet de blog cette semaine qu’il élargit les rapports de transparence pour inclure plus de canaris.
À ce jour, l’entreprise :
- n’a jamais remis nos clés SSL ou les clés SSL de nos clients à qui que ce soit ;
- n’a jamais installé de logiciel ou d’équipement d’application de la loi sur notre réseau ;
- n’a jamais congédié un client ou retiré du contenu en raison de pressions politiques ;
- n’a jamais fourni à aucun organisme d’application de la loi un flux de contenu de nos clients transitant par notre réseau.
Ces points clés sont cruciaux pour l’activité de l’entreprise. Une demande du gouvernement pour des clés SSL et l’installation d’équipement d’interception sur son réseau permettrait aux enquêteurs d’avoir un accès sans précédent aux communications et aux données d’un client, et minerait la sécurité de l’entreprise. Une demande similaire a conduit Ladar Levison à fermer son service de courriel Lavabit lorsqu’il a demandé les clés pour obtenir des renseignements sur le dénonciateur Edward Snowden, qui a utilisé le service.
Le mandat de Cloudflare comprendra des canaris :
- Cloudflare n’a jamais modifié le contenu de ses clients à la demande des forces de l’ordre ou d’un tiers.
- Cloudflare n’a jamais modifié la destination prévue des réponses DNS à la demande de la police ou d’un tiers.
- Cloudflare n’a jamais affaibli, compromis ou subverti son cryptage à la demande des forces de l’ordre ou d’un tiers.
Il a également élargi et remplacé son premier canari pour confirmer que l’entreprise “n’a jamais remis nos clés de chiffrement ou d’authentification ou les clés de chiffrement ou d’authentification de nos clients à personne”.
Cloudflare a déclaré que si jamais on lui demandait de faire l’une des choses ci-dessus, l’entreprise “épuiserait tous les recours légaux” pour protéger les données des clients, et retirerait les déclarations de son site.
Le réseautage et le réseau de distribution de contenu fait partie d’une poignée de grandes entreprises qui ont utilisé des canaris à mandat au fil des ans. À la suite d’informations selon lesquelles l’Agence nationale de sécurité était en train d’aspirer les relevés d’appels des principaux géants des télécommunications en vrac, Apple a inclus une déclaration dans ses derniers rapports de transparence indiquant que la société n’avait à ce jour “reçu aucune commande de données en vrac” et que Reddit avait retiré son mandat en 2015, indiquant qu’elle avait reçu une ordonnance de sécurité nationale dont elle ne pouvait divulguer la teneur.
Les canaris élargis de Cloudflare ont été inclus dans le dernier rapport de transparence de l’entreprise, publié cette semaine.
Selon ses derniers chiffres couvrant le second semestre 2018, Cloudflare n’a répondu qu’à sept assignations sur les 19 demandes, touchant 12 comptes et 309 domaines. La société a également répondu à 44 ordonnances judiciaires sur les 55 demandes, touchant 134 comptes et 19 265 domaines.
L’entreprise a reçu entre 0 et 249 demandes de sécurité nationale pour la durée de l’enquête et n’a traité aucune demande d’écoute électronique ou de gouvernement étranger pour cette durée.
Le rapport de transparence à peine transparent d’Amazon devient plus opaque.