En avril 2022, l'équipe indienne d'intervention d'urgence informatique (CERT-In) a introduit des directives de cybersécurité dans le but de contrer les cyberattaques et de renforcer la sécurité en ligne. Les nouvelles règles exigeraient que les services VPN et autres fournisseurs de services cloud conservent toutes les données des clients et les transactions TIC pendant cinq ans.
L'industrie VPN a dénoncé les nouvelles directives, affirmant que des lois aussi strictes vont à l'encontre de l'objectif fondamental et de la politique des réseaux privés virtuels. Plusieurs fournisseurs de VPN ont supprimé leurs serveurs physiques indiens.
Quelles sont ces nouvelles règles? Et y a-t-il une solution de contournement?
Que signifient les nouvelles règles de confidentialité pour les fournisseurs de VPN ?
Selon les nouvelles directives, les fournisseurs de services sont tenus de conserver un registre des informations sur les clients pendant cinq ans ou plus et de le remettre au gouvernement sur demande.
Les règles s'appliquent aux VPN grand public; Les VPN d'entreprise ou d'entreprise n'entrent pas dans cette catégorie.
La nouvelle réglementation, une fois mise en œuvre, signifierait que tout VPN grand public doté de serveurs physiques en Inde serait obligé de stocker les enregistrements des clients, notamment :
- Nom complet et adresse.
- Numéro de téléphone.
- Adresse e-mail.
- Adresse IP réelle.
- Nouvelle adresse IP (émise par le VPN).
- Horodatage de l'enregistrement.
- Modèle de propriété des clients.
- But de l'utilisation du VPN.
Les services VPN sont également tenus de conserver des enregistrements des utilisateurs même après avoir annulé le service. Non seulement ces règles violent la vie privée des utilisateurs; ils sont également incompatibles avec le fonctionnement de la plupart des VPN. Séparé de politiques strictes de non-journalisation, la configuration matérielle empêche certains fournisseurs de VPN d'enregistrer des données.
ExpressVPN, PIA et Surfshark, par exemple, exploitent des serveurs basés sur la RAM qui utilisent des modules de RAM volatiles au lieu des disques durs traditionnels. Une fois l'alimentation des serveurs coupée, toutes les données sont perdues.
Les nouvelles règles devaient initialement entrer en vigueur dans les 60 jours suivant leur annonce, soit le 27 juillet. Mais selon une mise à jour du CERT-In, le délai a été prolongé de trois mois jusqu'au 25 septembre 2022.
L'extension donnera aux fournisseurs de services cloud et aux PME le temps nécessaire pour renforcer la capacité de mise en œuvre de nouvelles orientations. Le non-respect de ces conditions peut entraîner une peine d'emprisonnement ou d'autres mesures punitives.
Comment l'industrie de la cybersécurité a-t-elle réagi aux règles de confidentialité de l'Inde ?
L'Internet Freedom Foundation (IFF) a publié une déclaration qualifiant cette loi de violation de la vie privée des utilisateurs et de la sécurité des informations.
Les fournisseurs de services VPN, en particulier, s'élèvent contre les directives car ils vont à l'encontre des principes de base des VPN, qui sont de garder l'activité des utilisateurs privée.
ExpressVPN a été le premier à déplacer ses serveurs hors de l'Inde. Il décrivait les règles comme "large" et "exagéré" et a soutenu que l'utilisation abusive potentielle d'une telle loi l'emporte de loin sur les avantages.
Surfshark a rapidement emboîté le pas et annoncé la fermeture de ses serveurs indiens. Dans un article de blog, a déclaré la société,
"Surfshark opère fièrement selon une politique stricte de "pas de journaux", de sorte que ces nouvelles exigences vont à l'encontre de l'éthique fondamentale de l'entreprise."
NordVPN a également confirmé qu'il mettait fin aux serveurs indiens en réponse à la directive de cybersécurité du pays.
Plusieurs autres fournisseurs de services VPN envisagent la même voie si la loi sur la confidentialité est mise en œuvre dans sa forme actuelle, notamment :
- VPN Proton.
- CyberGhost.
- Cachez-moi.
- VPN pur.
- Privé.
Malgré cela, certains VPN offrent toujours un moyen d'obtenir une adresse IP indienne à l'aide de serveurs virtuels.
Les serveurs virtuels sont-ils sûrs à utiliser ?
Si vous êtes un utilisateur soucieux de la confidentialité et que vous avez besoin de débloquer du contenu indien, il existe une solution de contournement sous la forme de serveurs virtuels. Ce n'est pas idéal, mais c'est toujours la meilleure option suivante.
Un serveur virtuel est une représentation logicielle d'un serveur physique dédié. Il recrée la fonctionnalité mais ne dispose pas de la machinerie sous-jacente d'un serveur physique. Les administrateurs réseau utilisent un logiciel de virtualisation pour diviser un serveur physique en plusieurs serveurs virtuels.
Les VPN comme Surfshark et ExpressVPN utilisent des serveurs virtuels pour aider les utilisateurs à débloquer le contenu indien. Ces serveurs sont physiquement situés au Royaume-Uni et à Singapour, mais utilisent une gamme d'adresses IP indiennes qui donnent l'impression que vous naviguez sur le Web depuis l'Inde.
Étant donné que les serveurs virtuels ne sont pas physiquement situés en Inde, les nouvelles lois sur la conservation des données ne s'y appliquent pas. Vous profitez toujours de la politique normale de non-journalisation, avec quelques inconvénients mineurs. Ceux-ci incluent la monopolisation des ressources et les problèmes de faible performance. Cela se produit généralement lorsqu'une seule machine physique héberge plusieurs serveurs virtuels, dont certains peuvent commencer à surutiliser les ressources.
Le deuxième inconvénient concerne leur disponibilité. Tous les services VPN n'offrent pas de serveurs virtuels; ceux qui le font souffrent généralement de décalages et de vitesses de connexion lentes. Cependant, vous pouvez voir des vitesses plus rapides si vous vous connectez depuis un pays où il se trouve.
Qu'est-ce que cela signifie pour les utilisateurs VPN ?
Alors que les principales sociétés VPN mettent fin à leurs serveurs en Inde, les utilisateurs s'inquiètent de la manière dont ils utiliseront les services VPN. De nombreux VPN ont commencé à fournir des serveurs virtuels pour répondre à leurs besoins.
Pour l'instant, nous ne connaissons aucune société VPN qui ait accepté les lois sur la conservation des données. Mais si vous utilisez un VPN et voyez un serveur indien dans la liste des pays, cela vaut la peine de vérifier auprès de l'entreprise pour votre propre vie privée.
