Les VPN sans journaux pourraient ne plus être les bienvenus en Inde, si une directive récemment publiée par l'Agence de cybersécurité du pays entre en vigueur.

Le document publié par l'équipe indienne d'intervention en cas d'urgence informatique (CERT) à la fin du mois dernier stipule que les fournisseurs de services de réseaux privés virtuels (VPN) au même titre que les centres de données, les fournisseurs de services cloud et les fournisseurs de serveurs privés virtuels (VPS) devront conserver une longue liste de données sur les utilisateurs pendant au moins 5 ans, même après l'annulation définitive de l'abonnement par les utilisateurs.

Les journaux que les fournisseurs de VPN devront stocker après l'entrée en vigueur de la directive fin juillet comprennent :

• Les noms, adresses et numéros de téléphone des utilisateurs
• La période d'utilisation
• Les adresses IP que les VPN attribuent aux utilisateurs
• Les adresses e-mail et IP des utilisateurs, ainsi que les informations sur la date exacte de leur inscription au service (horodatage).
• But de l'utilisation
• Type de propriété

Le Ministère indien de l'électronique et des technologies de l'information affirme qu'en resserrant son emprise sur les fournisseurs de VPN et d'autres services en ligne, il souhaite améliorer la cybersécurité. Selon le Ministère, la nouvelle législation vise à combler les "lacunes" qui "entravent l'analyse des incidents" et devrait "améliorer la posture globale de cybersécurité et garantir un Internet sûr et fiable dans le pays".

En cas de non-respect des dispositions de la directive, les fournisseurs risquent de subir des répercussions en vertu de la loi indienne sur les technologies de l'information. L'article pertinent de la loi prévoit que les contrevenants s'exposent à une peine d'un an de prison ou à une amende de 100 000 roupies (1 300 dollars), ou les deux.

La nouvelle loi ne manquera pas de porter un coup aux activités des VPN "anonymes" qui respectent une stricte politique sans journalisation. Soit ils devront céder aux exigences et commencer à exploiter des serveurs de stockage, ce qui signifie moins de confidentialité pour l'utilisateur final, soit ils seront obligés de migrer vers une zone grise ou de cesser complètement leurs activités en Inde. En outre, les nouvelles exigences peuvent faire grimper les coûts des services VPN pour les clients indiens, puisque les fournisseurs devront louer ou posséder des serveurs de stockage pour conserver les journaux.

Pour sa part, AdGuard ne conserve pas de journaux, cela irait à l'encontre des valeurs de l'entreprise. Par conséquent, nous ne serons pas en mesure de nous conformer aux exigences de cette loi. Nous surveillons constamment la situation et réfléchissons aux solutions possibles. Si nous n'avons pas le choix, nous serons obligés de reconsidérer la présence de nos serveurs dans cette région.