Vous connaissez sans doute le fonctionnement d’un VPN. Le but est de se connecter à un serveur pour ne pas utiliser son IP réelle et de chiffrer en plus votre trafic. Tous les VPN commerciaux proposent aussi de passer par un serveur à l’étranger. Le but est par exemple de se connecter à un serveur aux USA pour profiter des chaînes de TV américaines en ligne ou du Netflix américain. Mais pourquoi voudrait-on se connecter en Inde ? Les expatriés indiens peuvent potentiellement se connecter à un serveur dans leur pays d’origine pour voir un match de cricket par exemple (oui c’est un peu « cliché », mais bon…)
Qu’est-ce qui cloche en Inde ?
Or une nouvelle loi concernant la collecte de données (20(3)/2022-CERT-in) pose de nombreux problèmes aux VPN. Elle exige des entreprises et des fournisseurs de services en ligne qu’ils stockent les activités et les données des utilisateurs afin de les utiliser en cas de cyberincident et/ou d’événements liés à la cybersécurité. Le ministère indien de l’informatique exige donc que les entreprises et tout service en ligne ayant des serveurs physiques dans sa juridiction recueillent les données sensibles des clients. Ils doivent également conserver ces données pendant au moins cinq ans, même si leurs clients n’utilisent plus leurs services.
On connaît la chanson : qu’il s’agisse de terrorisme, de pédophilie ou ici de « cybersécurité », le but est bien sûr de collecter des données sur les citoyens pour mieux les contrôler.
Leave India if you don't want to go by the rule book, Rajeev Chandrasekhar tells VPN firmshttps://t.co/jgXcI4URTi
— Economic Times (@EconomicTimes) May 19, 2022
Les VPN se font la malle !
Ce n’est pas la première fois que l’Inde se prend un peu pour son voisin chinois en menaçant de prison des employés de Twitter ou en bannissant certains services en ligne. Dans le cas des VPN, le ministre en charge des nouvelles technologies a été clair : « Partez d’Inde si vous ne respectez pas la loi. » Les différents VPN ont donc tous pondu des communiqués pour rassurer leurs clients : ProtonVPN, ExpressVPN, Surfshark et NordVPN quittent le navire pour ne pas être sous obligation légale d’enregistrer des informations personnelles. Certains, à l’instar de CyberGhost, ont néanmoins trouvé la parade avec la possibilité de se connecter à un serveur virtuel. Tout fonctionne comme si vous vous connectiez à Mumbai, mais comme le serveur n’est pas présent dans le pays, la loi ne s’applique pas. Par contre, s’il n’est plus possible pour un citoyen indien de s’inscrire à un VPN, la seule option pour les journalistes et lanceurs d’alerte serait de passer par Tor…
