Le fournisseur de réseau privé virtuel (VPN) ExpressVPN a annoncé jeudi qu’il supprimait les serveurs VPN basés en Inde en réponse à une nouvelle directive sur la cybersécurité émise par l’équipe indienne d’intervention d’urgence informatique (CERT-In).
« Rassurez-vous, nos utilisateurs pourront toujours se connecter aux serveurs VPN qui leur donneront des adresses IP indiennes et leur permettront d’accéder à Internet comme s’ils se trouvaient en Inde », a déclaré la société. a dit. « Ces serveurs indiens » virtuels « seront plutôt physiquement situés à Singapour et au Royaume-Uni »
Le développement intervient alors que le CERT-In a imposé de nouvelles controversé les exigences de conservation des données qui doivent entrer en vigueur le 27 juin 2022 et obligent les fournisseurs de services VPN à stocker les vrais noms, coordonnées et adresses IP des abonnés pendant au moins cinq ans.
Les données utilisateur enregistrées, a souligné CERT-In, ne seront demandées qu’aux fins de « réponse aux cyberincidents, actions de protection et de prévention liées aux cyberincidents ».
L’agence a depuis clarifié que cette règle ne s’applique pas aux solutions VPN d’entreprise et d’entreprise et ne vise que les opérateurs qui fournissent des services de type proxy aux « abonnés/utilisateurs Internet généraux ».
« La nouvelle loi sur les données […]destiné à aider à lutter contre la cybercriminalité, est incompatible avec l’objectif des VPN, qui sont conçus pour garder l’activité en ligne des utilisateurs privée », a déclaré ExpressVPN. « La loi est également trop large et si large qu’elle ouvre la porte à des abus potentiels.
Les règles, appelées Cyber Security Directions, obligent également les entreprises à signaler les incidents de failles de sécurité tels que les violations de données et les attaques de ransomware dans les six heures suivant leur détection.
Cette décision a non seulement suscité des préoccupations en matière de confidentialité, mais a également été critiquée comme ambiguë et trop large, soulignant un manque de clarté sur la portée des incidents relevant de la prochaine directive.
« De telles exigences excessives en matière de collecte et de transmission de données n’auront pas seulement un impact sur les fournisseurs de services VPN, mais également sur les utilisateurs de VPN, nuisant à leur liberté individuelle et à leur vie privée », a déclaré l’Internet Freedom Foundation. a dit dans un rapport.
« En l’absence d’une surveillance suffisante et d’un cadre de protection des données pour se protéger contre les abus, de telles exigences ont le potentiel de permettre une surveillance de masse. »