Le gouvernement ordonne aux fournisseurs vpn de stocker et de partager les données des utilisateurs : tout ce que vous devez savoir

Les fournisseurs de réseaux privés virtuels (VPN) seront tenus d’enregistrer et de préserver les informations des utilisateurs pendant au moins cinq ans, a déclaré l’équipe indienne d’intervention en cas d’urgence informatique (CERT-In) du ministère de l’Électronique et des Technologies de l’information dans une ordonnance qui entrera en vigueur le 28 juin – à moins que le gouvernement ne retarde en raison d’un ralentissement de sa conformité. La décision vise à aider à « coordonner les activités d’intervention ainsi que les mesures d’urgence en ce qui concerne les incidents de cybersécurité » dans le pays. Voici tout ce que vous devez savoir sur le déménagement.

Dans un directive de huit pages qui a été publié la semaine dernière, CERT-In a déclaré que l’ordonnance avait été prise en considération en vertu du paragraphe (6) de l’article 70B de la Loi de 2000 sur les technologies de l’information. Il a déclaré que les fournisseurs de services VPN – aux côtés des centres de données, des fournisseurs de serveurs privés virtuels (VPS) et des fournisseurs de services cloud – seront tenus d’enregistrer et de maintenir des informations précises sur leurs services pendant cinq ans ou plus « comme l’exige la loi après toute annulation ou enregistrement, selon le cas ».

Les informations de l’utilisateur comprennent les noms valides des abonnés, la période d’abonnement au service, les adresses IP attribuées et utilisées, l’adresse e-mail et l’adresse IP ainsi que l’heure exacte enregistrée lors de l’inscription, le but de l’abonnement, l’adresse validée et les numéros de contact, et le modèle de propriété des abonnés se connectant au service.

En cas d’incident, les prestataires de services seront tenus de fournir les informations demandées par CERT-In.

Le défaut de donner les informations ou le non-respect de l’ordonnance peut entraîner des « mesures punitives » en vertu de la sous-section (7) de l’article 70B de la loi de 2000 sur les technologies de l’information et d’autres lois applicables, a déclaré l’agence nationale.

Bien que la raison exacte de l’ordonnance n’ait pas encore été donnée, CERT-In a affirmé que les instructions émises aideraient à « combler les lacunes et les problèmes identifiés » pour fournir des mesures d’intervention en cas d’incident.

La croissance de la base Internet de l’Inde joue un rôle important dans l’expansion des incidents de cybersécurité dans le pays. L’une des principales raisons de ces problèmes est le manque de sensibilisation du grand public sur la façon dont il devrait éviter de devenir une proie pour les cybercriminels. Les organisations, y compris les ministères, ne sont pas non plus actives dans la correction des failles de sécurité. Pour cela, l’agence du ministère oblige les fournisseurs de services, les intermédiaires, les centres de données, les personnes morales et les ministères à signaler les vulnérabilités au CERT-In dans les six heures.

Cependant, diriger les fournisseurs de VPN pour collecter et partager des informations sur leurs abonnés est étrange car le but principal de l’obtention d’un service VPN est d’éviter de laisser des traces. La plupart des entreprises VPN suivre les pratiques de non-journalisation et font souvent activement la promotion qu’ils ne conservent pas les données d’activité des utilisateurs, bien que certains d’entre eux collecter des données analytiques anonymisées pour dépanner et corriger les échecs de connexion.

Dans un tel scénario, il n’est pas clair comment certains des fournisseurs de services VPN populaires dans le monde seront en mesure de se conformer à l’ordre du gouvernement. Il n’est pas clair non plus si les directives s’appliqueront à tous les fournisseurs de services ou à ceux qui sont basés en Inde.

L’ordonnance entrera en vigueur à partir de la fin juin, bien qu’il puisse y avoir un certain retard dans sa mise en œuvre, car la plupart des acteurs prendront probablement du temps pour se conformer aux instructions données. La même ordonnance a également rendu obligatoire pour les échanges cryptographiques dans le pays de stocker les données des utilisateurs pendant au moins cinq ans.

Notamment, ce n’est pas la première fois que nous voyons des fournisseurs de services VPN entrer sous les feux de la rampe dans le pays. L’année dernière, un groupe parlementaire a exhorté le gouvernement à bloquer définitivement les VPN pour restreindre la cybercriminalité. Les opérateurs de télécommunications, y compris Reliance Jio, ont également été vus en train de restreindre l’accès à certains services VPN et sites Web proxy dans le pays en 2019.