Tous les services VPN exécutant des serveurs en Inde doivent désormais se conformer à une nouvelle loi sur les données qui est maintenant officiellement entrée en vigueur.
Selon les nouvelles réglementations CERT-In, les éditeurs de logiciels de sécurité sont légalement tenus de stocker les données des utilisateurs – telles que les adresses IP, les noms réels et les habitudes d’utilisation – jusqu’à cinq ans. Ils seront également tenus de remettre ces informations aux autorités sur demande.
Depuis la publication de l’annonce du gouvernement le 28 avril, les internautes, les experts en défense de la vie privée et en cybersécurité ont exprimé leurs inquiétudes quant à l’impact négatif de ces réglementations sur la vie privée des personnes.
Tout cela a conduit certains des meilleurs services VPN à prendre des mesures drastiques afin de ne pas compromettre les valeurs de confidentialité et de continuer à protéger l’anonymat de leurs utilisateurs.
Bien que les lois et législations des pays changent, notre priorité de protéger la confidentialité des utilisateurs demeure. Par conséquent, à la lumière de la prochaine directive indienne sur la collecte de données, nous supprimerons nos serveurs basés en Inde. Malgré cela, les utilisateurs en Inde pourront continuer à utiliser nos services.23 juin 2022
Pourquoi la nouvelle loi indienne sur la conservation des données est-elle controversée ?
Abréviation de réseau privé virtuel, un VPN est un logiciel de sécurité qui protège la vie privée des personnes en masquant leur emplacement IP réel tout en sécurisant leurs données à l’intérieur d’un tunnel crypté.
Pour protéger l’anonymat des utilisateurs, les services VPN les plus privés appliquent des politiques strictes de non-journalisation. Cela signifie qu’aucune donnée utilisateur ne peut être stockée, divulguée ou partagée. C’est exactement la raison pour laquelle l’obligation de conserver les journaux des clients est, comme l’a décrit ExpressVPN, « incompatible avec l’objectif des VPN ». (s’ouvre dans un nouvel onglet).’
De plus, la nouvelle loi indienne sur la conservation des données n’affecte pas uniquement les VPN. Les services de stockage en nuage, les serveurs privés virtuels (VPS), les centres de données et les échanges de crypto-monnaie sont tous les cibles de la nouvelle réglementation CERT-In.
Cette décision vient dans le but de réprimer l’incidence croissante de la cybercriminalité. Avec plus de 86 millions de violations de données en 2021, l’Inde était le troisième pays le plus touché au monde (s’ouvre dans un nouvel onglet) l’année dernière.
Cependant, comme Surfshark l’a expliqué dans un communiqué officiel (s’ouvre dans un nouvel onglet): « La collecte de quantités excessives de données au sein de la juridiction indienne sans mécanismes de protection robustes pourrait entraîner encore plus de violations à l’échelle nationale. »
Dans le même temps, l’Inde a été jugée responsable de 106 des 180 coupures d’Internet exécutées en 2021 (s’ouvre dans un nouvel onglet) – selon le militant des droits numériques Access Now. Sans parler du recul de la liberté des médias et des allégations selon lesquelles le gouvernement indien aurait utilisé la technologie Pegasus pour espionner des militants, des politiciens et des avocats.
Avec un tel bilan, il n’est pas difficile de comprendre pourquoi les citoyens et les experts craignent que les autorités n’abusent de cette saisie de données pour favoriser des pratiques de surveillance de masse intrusives et saper les libertés civiles.
Cependant, la vie privée n’est pas la seule à être menacée. La nouvelle loi indienne sur les données pourrait nuire à la croissance du secteur informatique dans le pays. En tant que COO de Future Market Insights Sudip Saha dit TechRadar: « Les interdictions des VPN nuiront principalement aux intérêts des entreprises en décourageant les investissements et les affaires en Inde. »
Comment les fournisseurs de VPN prévoient de protéger la vie privée des utilisateurs
De nombreux fournisseurs de VPN ont pris position contre la décision du gouvernement indien, exprimant leur attachement aux valeurs de leur entreprise.
Certains d’entre eux ont décidé de devenir virtuels pour protéger la vie privée des utilisateurs. Comment? Ils ont mis en place des emplacements virtuels afin que les personnes en Inde puissent toujours se connecter à une adresse IP indienne usurpée. Ceux-ci offrent les mêmes fonctionnalités, mais les données des utilisateurs seront en sécurité car leur connexion sera redirigée vers des serveurs physiquement situés en dehors des frontières du pays.
Les fournisseurs qui proposent désormais des emplacements virtuels en Inde incluent ExpressVPN, Surfshark, CyberGhost, Private Internet Access (PIA) et PureVPN.
Certains, comme IPVanish, envisagent de proposer quelque chose de similaire à l’avenir. Cependant, au moment de la rédaction de cet article, les emplacements virtuels indiens n’ont pas encore été annoncés.
D’autres, malgré la fermeture de leurs serveurs indiens, affirment ne pas avoir l’intention d’introduire de faux emplacements. Ceux-ci incluent NordVPN, Hide.me et AtlasVPN.
Comme nous l’a dit Laura Tyrylyte de NordVPN : « Nous pensons que nous allons trouver un moyen de répondre aux exigences de tous nos clients, quel que soit leur emplacement. »
ProtonVPN a également exprimé son désaccord avec la nouvelle réglementation CERT-In, suggérant des moyens sécurisés de se connecter aux serveurs VPN dans les pays à haut risque. (s’ouvre dans un nouvel onglet). Celles-ci incluent l’utilisation de l’un de ses serveurs Secure Core pour bénéficier d’une couche de cryptage supplémentaire.
Dans le même temps, Windscribe a déclaré qu’il prévoyait de conserver ses serveurs indiens, « à moins que nos hébergeurs indiens ne nous obligent à quitter ».
