Le service de réseau privé virtuel (VPN) ExpressVPN a annoncé, le 2 juin, retirer ses serveurs de l’Inde. La raison ? De nouvelles directives, intitulées Cyber Security Directions, à l’encontre des fournisseurs de service cloud et des opérateurs VPN. Ces derniers devront conserver les noms et les adresses IP de leurs clients pendant cinq ans. C’est la fin de l’anonymat sur l’Internet indien.

ExpressVPN quitte le territoire indien

Le gouvernement indien veut pouvoir consulter, en cas d’urgence, les données personnelles détenues par les entreprises technologiques sur son territoire. Ces règles sont proposées par l’Indian Computer Emergency Response Team (CERT-In), une agence publique qui dépend du Ministère indien de l’Électronique et des Technologies de l’Information. Elles entreront en vigueur à partir du 27 juin prochain.

Pour ExpressVPN, cela est « incompatible avec le principe même des VPN, qui sont conçus pour préserver la confidentialité des activités de leurs utilisateurs en ligne ». L’entreprise rassure néanmoins ses clients et explique qu’il « sera toujours possible de se connecter à des serveurs VPN qui proposeront une adresse IP indienne ». La seule différence réside dans la localisation desdits serveurs qui seront désormais situés à Singapour et au Royaume-Uni.

Depuis les déclarations du service de VPN, l’agence Cert-In a précisé (PDF) que ces nouvelles règles ne s'appliquent pas aux réseaux privés virtuels à destination des entreprises. Il ne concerne que les services de type proxy, servant d’intermédiaire auprès d’abonnés ou de clients.

L’Inde renforce son contrôle sur Internet

Ces directives, annoncées fin mai, sont présentées comme un moyen de lutter contre la cybercriminalité. Les entreprises auront désormais l’obligation de signaler aux autorités des failles de sécurités, des cyberattaques, violations de données personnelles, dans un délai de six heures. D’après Rajeev Chandrasekhar, Ministre de l’Informatique en Inde, ces consignes ne feront pas l’objet d’une consultation publique, une pratique courante dans le pays lors de l’élaboration d’un nouveau projet ou de la discussion de nouvelles règles.

Une décision inquiétante alors que ces directives menacent très directement l’anonymat sur Internet. Pour l'ONG indienne Freedom Foundation, « en l’absence d’une supervision suffisante et d’un cadre de protection des données contre les abus, ces exigences peuvent permettre une surveillance de masse ».