L’Inde trifouille avec les services VPN: “Une mauvaise nouvelle pour la confidentialité”

L’Inde contraint les fournisseurs de services VPN à stocker désormais les données de leurs clients, ce qui suscite des craintes pour la confidentialité en ligne, principalement chez les activistes, lanceurs d’alerte et dissidents.

Les Virtual Private Networks (VPN) cryptent les données et veillent à ce que les internautes puissent naviguer et communiquer de manière anonyme. Les services enregistrent une forte croissance en Inde grâce aux efforts des pouvoirs publics en vue de clouer le bec aux voix dissidentes, et suite au succès du télétravail.

Or divers fournisseurs VPN quittent à présent le pays, et davantage d’entreprises encore envisagent de faire de même. La raison en est les nouvelles règles relatives aux VPN qui, selon le gouvernement indien, visent la cybersécurité, mais qui, selon les entreprises, peuvent être aisément abusées et menacer ainsi les données de utilisateurs.

En vertu de la loi, qui entrera en vigueur ce mois-ci, les fournisseurs se verront contraints de conserver les données et adresses IP de leurs utilisateurs pendant cinq ans au moins et ce, même si les clients s’y opposent.

Crucial pour la confidentialité

‘Les VPN sont cruciaux pour la confidentialité en ligne, l’anonymat et la liberté d’expression. Par conséquent, ces restrictions ne sont rien de moins qu’une atteinte aux droits numériques’, déclare Harold Li, vice-président d’ExpressVPN. ‘Les nouvelles règles vont trop loin et sont formulées de manière si vague qu’elles peuvent être abusées. Nous refusons de mettre en danger les données de nos utilisateurs. Voilà pourquoi nous avons immédiatement décidé de retirer nos serveurs VPN d’Inde.’

L’Inde fait partir du top 20 des pays utilisant le plus les VPN, selon l’AtlasVPN global index. C’est surtout en 2020 et en 2021 que le nombre d’utilisateurs a crû rapidement, comme partout dans le monde, et ce, à mesure que davantage de gens ont commencé à travailler à domicile, et que les entreprises ont voulu sécuriser leurs réseaux.

Nombre d’utilisateurs sont tout simplement des employés de ces entreprises, mais les services sont également pleinement utilisés par des activistes, journalistes, avocats et lanceurs d’alerte. Ceux-ci utilisent les VPN pour avoir accès aux sites web bloqués, afin de protéger leurs données et dissimuler leur identité.

Plus la numérisation des données et des services croît, plus la sécurité devient une question cruciale. L’année dernière, l’Inde faisait partie du top 3 des pays caractérisés par le plus grand nombre de fuites de données, comme il ressort des estimations effectuées par Surfshark VPN. Dans ce cadre, quasiment 87 millions d’utilisateurs seraient touchés.

Rapportage de fuites de données

La nouvelle loi, qui a été élaborée en avril par le Computer Emergency Response Team (CERT-In) indien, oblige les entreprises à notifier aussi les fuites de données dans les six heures et à conserver les journaux et la communication interne pendant six mois. Des peines de prison sont prévues en cas d’infraction.

Les firmes technologiques et les organisations qui défendent les droits numériques, ont déjà signifié leur opposition, mais le gouvernement indien a fait savoir que les règles ne changeront pas.

‘Si vous désapprouvez les nouvelles règles et que vous souhaitez vous retirer, faites-le tout simplement’, a affirmé le vice-ministre de l’IT Rajeev Chandrasekhar le mois dernier encore en réponse à des journalistes.

Chape de surveillance

Des gouvernements dans le monde entier tentent d’accroître leur mainmise sur les flux de communication en ligne et ce, au moyen de toute une série de règles, pare-feu, fermetures d’accès à internet et autres mesures anti-médias sociaux.

L’Inde intensifie ses règles pour les grandes firmes technologiques depuis des années déjà et oblige les entreprises à supprimer du contenu. L’année dernière, des dizaines d’avocats, de journalistes et d’activistes constatèrent qu’ils avaient été piratés par l’espiogiciel Pegasus. Le gouvernement refusa de confirmer ou d’infirmer avoir acheté l’espiogiciel en question.

Selon Ranjana Kumari, activiste et directrice du Centre for Social Research à New Delhi, les nouvelles règles pourront être utilisées pour mener les citoyens à la baguette. “Les autorités accroissent déjà le contrôle d’internet pour réprimer la dissidence, et les gens sont de plus en plus surveillés”, prétend-elle. ‘Ces règles ne feront qu’empirer les choses.’

Le gouvernement a insisté sur le fait que les règles ne s’appliquent pas aux VPN d’entreprise, mais selon ProtonVPN, elles constituent ‘une atteinte à la confidentialité et menacent de placer les citoyens sous une chape de surveillance.’ L’entreprise a déjà annoncé vouloir s’en tenir à sa politique et ne pas conserver de données.

Constitution

Surfshark applique également une politique ‘no-logs’, ce qui signifie qu’elle ne conserve pas les données des utilisateurs et ne garde ou ne partage aucune information de navigation ou d’utilisation. ‘Même sur le plan technique, nous ne serions pas à même de répondre aux nouvelles règles’, indique Gytis Malinauskas, en charge du service juridique.

Un porte-parole de NordVPN, l’un des principaux fournisseurs au monde, signale que l’entreprise ‘apprécie les intentions du gouvernement indien d’améliorer la cybersécurité,… mais que la durée du débat devrait être prolongée. Si tel n’est pas le cas, nous envisageons de quitter l’Inde.’

Selon l’Information Technology Industry Council, une coalition mondiale, les nouvelles règles pourraient nuire à la sécurité en ligne.

L’obligation de conserver les données accroît le risque de surveillance pour des millions de personnes, écrit Raman Jit Singh Chima, directeur stratégique chez Access Now, dans une lettre ouverte. ‘Cette obligation pour les fournisseurs de services, en ce compris les entreprises VPN, de collecter des informations qu’ils ne tiennent normalement pas à jour, pendant cinq ans ou plus, représente une violation du droit à la confidentialité, tel que garanti par la Constitution indienne.’

Russie

L’inde n’est – et de loin – pas le seul pays à cibler les VPN. L’année dernière déjà, la Russie avait en effet interdit plusieurs services VPN dans le cadre d’une campagne plus large qui, selon les esprits critiques, constituait une atteinte à la liberté d’internet. Mais le pays n’a pas réussi à bannir complètement les services VPN.

Les efforts russes en vue de bloquer les sites d’actualité globaux et les médias sociaux suite à l’invasion de l’Ukraine – comparable au ‘Great Firewall’ chinois – ne font qu’augmenter les préoccupations, selon lesquelles internet se fragmente tout au long des lignes de rupture géopolitiques et isole numériquement les gens.

Les nouvelles règles en Inde ont également été élaborées sans grande concertation avec les firmes technologiques ou les organisations de défenses des droits des citoyens, selon Prateek Waghre, directeur stratégique auprès de l’Internet Freedom Foundation, une organisation de défense des droits numériques des citoyens à Delhi.

‘Il en résulte qu’un certain nombre de directives sont ambiguës et que les sanctions sont très élevées, en ce compris de potentielles peines d’emprisonnement’, précise-t-il. Les directives peuvent causer beaucoup de dommages, ajoute Waghre, surtout parce qu’il n’existe pas de loi en matière de protection des données.

‘Il est vrai qu’il existe un besoin évident d’une meilleure cybersécurité’, enchaîne-t-il. “Mais si vous exigez la collecte de données à grande échelle, tout le monde court un risque – et ce dernier augmente encore davantage pour ceux qui sont déjà en danger, tels les activistes, journalistes, dissidents et minorité.’

Cette analyse est parue initialement chez le partenaire IPS Thomson Reuters News Foundation.