Les sociétés VPN sont se disputer avec le gouvernement indien au sujet de nouvelles règles conçues pour changer leur mode de fonctionnement dans le pays. Le 28 avril, les responsables ont annoncé que les entreprises de réseaux privés virtuels seraient tenues de collecter des pans entiers de données clients et de les conserver pendant cinq ans ou plus en vertu d’une nouvelle directive nationale. Les fournisseurs de VPN ont deux mois pour adhérer aux règles et commencer à collecter des données.
La justification de l’équipe d’intervention d’urgence informatique (CERT-In) du pays est qu’elle doit être en mesure d’enquêter sur la cybercriminalité potentielle. Mais cela ne va pas avec les fournisseurs de VPN, dont certains ont déclaré qu’ils pourraient ignorer les demandes. “Cette dernière décision du gouvernement indien d’exiger des sociétés VPN qu’elles transmettent les données personnelles des utilisateurs représente une tentative inquiétante de porter atteinte aux droits numériques de ses citoyens”, déclare Harold Li, vice-président d’ExpressVPN. Il ajoute que l’entreprise n’enregistrera jamais les informations ou l’activité des utilisateurs et qu’elle ajustera ses “opérations et son infrastructure pour préserver ce principe si et quand cela sera nécessaire”.
D’autres fournisseurs de VPN envisagent également leurs options. Gytis Malinauskas, responsable du service juridique de Surfshark, a déclaré que le fournisseur de VPN ne pouvait pas actuellement se conformer aux exigences de journalisation de l’Inde car il utilise des serveurs uniquement RAM, qui écrasent automatiquement les données relatives aux utilisateurs. “Nous étudions toujours la nouvelle réglementation et ses implications pour nous, mais l’objectif général est de continuer à fournir des services sans journaux à tous nos utilisateurs”, a-t-il déclaré. ProtonVPN est également préoccupé, qualifiant cette décision d’érosion des libertés civiles. “ProtonVPN surveille la situation, mais en fin de compte, nous restons attachés à notre politique de non-journalisation et à la préservation de la vie privée de nos utilisateurs”, a déclaré le porte-parole Matt Fossen. “Notre équipe étudie la nouvelle directive et explore le meilleur plan d’action”, déclare Laura Tyrylyte, responsable des relations publiques chez Nord Security, qui développe Nord VPN. “Nous pouvons retirer nos serveurs de l’Inde s’il ne reste plus d’options.”
La réponse intransigeante des fournisseurs de VPN montre à quel point l’enjeu est important. L’Inde s’est rapidement éloignée d’une démocratie libre et ouverte et a lancé des mesures de répression contre les organisations non gouvernementales, les journalistes et les militants, dont beaucoup utilisent des VPN pour communiquer. Human Rights Watch a récemment averti que la liberté des médias était menacée dans le pays, avec un certain nombre de changements législatifs et politiques menaçant les droits des citoyens des minorités dans le pays. L’Inde a perdu huit places dans l’indice de la liberté de la presse de Reporters sans frontières au cours de l’année écoulée et occupe désormais la 150e place sur 180 pays dans le monde. Les autorités auraient ciblé des journalistes, attisé la division nationaliste et encouragé le harcèlement des journalistes qui critiquent le Premier ministre indien Narendra Modi. En collectant et en stockant des données sur tous les utilisateurs de VPN en Inde, les autorités peuvent trouver plus facilement qui contactent les journalistes utilisant un VPN et pourquoi.
Des responsables indiens ont affirmé que les nouvelles règles applicables aux fournisseurs de VPN ne faisaient pas partie d’une saisie de données visant à entraver davantage la liberté de la presse, mais plutôt une tentative de mieux contrôler la cybercriminalité. L’Inde a été touchée par un certain nombre de violations de données importantes ces dernières années et était le troisième pays le plus touché au monde en 2021. “Les violations de données sont devenues si courantes en Inde qu’elles ne font plus la une des journaux comme avant”, déclare Mishi Choudhary, avocat en technologie et fondateur du Software Freedom Law Center, un fournisseur de services d’assistance juridique en technologie en Inde. En mai 2021, les noms, adresses e-mail, lieux et numéros de téléphone de plus d’un million de clients de Domino’s Pizza ont été volés et mis en ligne ; la même année, les informations personnelles de 110 millions d’utilisateurs de la plateforme de paiement numérique MobiKwik se sont retrouvées sur le dark web. Maintenant, alors que les incidents majeurs s’accumulent, les responsables indiens s’en prennent aux VPN dans une tentative apparente de réprimer la flambée de la cybercriminalité.
“CERT-In est tenu de répondre à tout incident de cybersécurité”, déclare Srinivas Kodali, chercheur spécialisé dans la numérisation en Inde du Free Software Movement of India, bien qu’il conteste son efficacité à le faire. Disposer de ces informations devrait, en théorie, permettre au CERT-In d’enquêter plus rapidement sur tout incident après coup. Mais beaucoup ne croient pas que ce soit toute l’histoire. “CERT-In n’a pas vraiment un passé propre, et ils n’ont jamais vraiment protégé la vie privée des citoyens”, affirme Kodali. “Selon les règles, ils ne demanderont ces journaux que lorsqu’ils en auront réellement besoin pour une partie d’une enquête. Mais en Inde, on ne sait jamais comment ils seront maltraités.
