Discussion :

[Stéphane le calme]

L'Inde ordonne aux sociétés VPN de collecter et de transmettre les données des utilisateurs,
une nouvelle ordonnance gouvernementale obligera les services VPN à stocker les données des utilisateurs pendant cinq ans ou plus

L'équipe d'intervention d'urgence informatique (CERT-in) du ministère de l'Électronique et des Technologies de l'information a ordonné jeudi aux fournisseurs de réseaux privés virtuels, aux centres de données et aux échanges de monnaies cryptographiques de conserver un large éventail de données sur leurs clients pendant cinq ans au moins, dans ce qu'il a dit être un effort « pour coordonner les activités d'intervention ainsi que les mesures d'urgence en cas d'incidents de cybersécurité ». C'est une politique qui rendra probablement la vie plus difficile pour les sociétés VPN et les utilisateurs VPN là-bas.

Le CERT-in a annoncé jeudi que les VPN du pays devront conserver les noms des clients, les adresses physiques et IP validées, les modèles d'utilisation et d'autres formes d'informations personnellement identifiables. Ceux qui ne se conforment pas pourraient potentiellement encourir jusqu'à un an de prison en vertu de la loi applicable citée dans la nouvelle directive.

Comme indiqué plus haut, la directive ne se limite pas aux fournisseurs de VPN. Les centres de données et les fournisseurs de services cloud sont tous deux répertoriés sous la même disposition. Les entreprises devront conserver les informations des clients même après que le client a annulé son abonnement ou son compte. Et, dans tous les cas, le CERT-in exigera des entreprises qu'elles signalent « l'accès non autorisé de leurs utilisateurs aux comptes de médias sociaux » :

« Le CERT-In analyse en permanence les cybermenaces et gère les cyberincidents qui lui sont signalés. Le CERT-In émet régulièrement des avis aux organisations et aux utilisateurs pour leur permettre de protéger leurs données/informations et leur infrastructure TIC. Afin de coordonner les activités de réponse ainsi que les mesures d'urgence face aux incidents de cybersécurité, le CERT-In sollicite des informations auprès des prestataires de services, des intermédiaires, des centres de données et des personnes morales.

« Au cours de la gestion des cyberincidents et des interactions avec la circonscription, le CERT-In a identifié certaines lacunes qui entravent l'analyse des incidents. Pour combler les lacunes et les problèmes identifiés afin de faciliter les mesures de réponse aux incidents, le CERT-In a publié des instructions relatives aux pratiques de sécurité de l'information, à la procédure, à la prévention, à la réponse et au signalement des cyberincidents en vertu des dispositions de la sous-section (6) de la section 70B de la Loi de 2000 sur les technologies de l'information. Ces directives entreront en vigueur après 60 jours.

« Les instructions couvrent les aspects relatifs à la synchronisation des horloges des systèmes TIC ; déclaration obligatoire des cyberincidents au CERT-In ; maintenance des journaux des systèmes TIC ; les détails des inscriptions des abonnés/clients par les centres de données, les fournisseurs de serveurs privés virtuels (VPS), les fournisseurs de services VPN, les fournisseurs de services Cloud ; les normes et pratiques KYC par les fournisseurs de services d'actifs virtuels, les fournisseurs d'échange d'actifs virtuels et les fournisseurs de portefeuilles de dépôt. Ces orientations doivent améliorer la posture globale de cybersécurité et garantir un Internet sûr et fiable dans le pays ».

La plupart des VPN offrent une politique de non-journalisation, une promesse publique contre la journalisation, la collecte ou le partage des données d'utilisation et de navigation des clients. Les principaux services comme ExpressVPN et Surfshark fonctionnent uniquement avec des serveurs à disque RAM et d'autres technologies sans journalisation, ce qui signifie que les VPN seraient théoriquement incapables de surveiller les URL répertoriées dans la directive. Si les VPN en Inde sont tenus en vertu de la nouvelle directive de conserver les données d'enregistrement des clients - ou de surveiller et de signaler l'utilisation des médias sociaux - beaucoup pourraient potentiellement enfreindre la loi simplement en continuant à fonctionner.

L'Inde a l'habitude d'appliquer une main lourde à l'activité en ligne.

En avril, l'Inde a interdit 22 chaînes YouTube. En 2021, Facebook, Google et Twitter ont mis fin à une confrontation tendue avec le gouvernement indien lorsqu'ils se sont largement conformés au contrôle élargi du gouvernement sur le contenu des médias sociaux dans le pays. En 2020, le pays a interdit plus de 200 applications chinoises, dont TikTok, et a finalement interdit 9 849 URL de médias sociaux.

Pour être plus précis, après avoir banni une première vague de 59 applications développées par des entreprises chinoises parmi lesquelles TikTok, évoquant un comportement malveillant quant à la collecte des données de ses citoyens, l'Inde a ajouté 118 applications à la liste, elles aussi développées par des entreprises chinoises. Le pays a fait allusion à des problèmes de sécurité dans un communiqué :

« Le ministère de l'Électronique et des Technologies de l'information, invoquant son pouvoir en vertu de l'article 69A de la loi sur les technologies de l'information, lu avec les dispositions pertinentes des règles de 2009 sur les technologies de l'information (procédure et garanties pour le blocage de l'accès à l'information par le public) et compte tenu du la nature émergente des menaces a décidé de bloquer 118 applications mobiles, car au vu des informations disponibles, elles se livrent à des activités préjudiciables à la souveraineté et à l'intégrité de l'Inde, à la défense de l'Inde, à la sécurité de l'État et à l'ordre public.

« Le ministère de l'Électronique et des Technologies de l'information a reçu de nombreuses plaintes de diverses sources, y compris plusieurs rapports sur l'utilisation abusive de certaines applications mobiles disponibles sur les plateformes Android et iOS pour voler et transmettre subrepticement les données des utilisateurs de manière non autorisée à des serveurs situés en dehors de l'Inde. La compilation de ces données, leur extraction et leur profilage par des éléments hostiles à la sécurité nationale et à la défense de l'Inde, qui empiètent en fin de compte sur la souveraineté et l'intégrité de l'Inde, sont un sujet de préoccupation très profonde et immédiate qui nécessite des mesures d'urgence.

« Le Centre indien de coordination de la cybercriminalité, au ministère de l'Intérieur, a également envoyé une recommandation exhaustive pour bloquer ces applications malveillantes. De même, il y a eu des préoccupations bipartites similaires, signalées par divers représentants publics, tant à l'extérieur qu'à l'intérieur du Parlement indien. Il y a eu un fort chœur dans l'espace public pour prendre des mesures strictes contre les applications qui portent atteinte à la souveraineté de l'Inde ainsi qu'à la vie privée de nos citoyens.

« Sur la base de ceux-ci et à la réception d'entrées crédibles récentes, les informations publiées, les autorisations demandées, les fonctionnalités intégrées ainsi que les pratiques de collecte de données des applications susmentionnées soulèvent de sérieuses préoccupations quant au fait que ces applications collectent et partagent des données de manière clandestine et compromettent les données et informations personnelles d'utilisateurs pouvant présenter une menace grave pour la sécurité de l'État.

« Dans l'intérêt de la souveraineté et de l'intégrité de l'Inde, de la défense de l'Inde et de la sécurité de l'État. Et en utilisant les pouvoirs souverains, le gouvernement indien a décidé de bloquer l'utilisation de certaines applications, utilisées à la fois dans les appareils mobiles et non mobiles compatibles Internet.

« Cette décision protégera les intérêts de millions d'utilisateurs indiens mobiles et Internet. Cette décision est une mesure ciblée visant à assurer la sûreté, la sécurité et la souveraineté du cyberespace indien. »

Le groupe de défense des droits numériques Access Now a rapporté le mois dernier que les coupures et interruptions d'Internet imposées par le gouvernement en Inde représentaient 106 des 182 actions gouvernementales de ce type dans le monde, soit près de 60 %. La directive fait également suite à des pics notables de la demande de VPN en Inde, où la société de recherche indépendante Top10VPN estime que les fermetures ont touché 59,1 millions d'utilisateurs en 2021.

Le ministère de l'Électronique et de l'informatique a déclaré samedi dans un communiqué que la nouvelle directive vise à l'aider à combler "certaines lacunes" qui l'empêchent de répondre à des "incidents cybernétiques et interactions avec la circonscription" non spécifiés.

En vertu de la directive complète du ministère, les sociétés VPN seront tenues de collecter et de déclarer les informations suivantes :

• Noms de clients validés, adresse physique, adresse e-mail et numéros de téléphone.
• La raison pour laquelle chaque client utilise le service, les dates auxquelles il l'utilise et son "modèle de propriété".
• L'adresse IP et l'adresse e-mail utilisées par un client pour s'inscrire au service, ainsi qu'un horodatage d'inscription.
• Toutes les adresses IP attribuées à un client par le VPN, et une liste des adresses IP utilisées par sa clientèle en général.

La directive complète du ministère devrait entrer en vigueur le 27 juin, bien que le gouvernement puisse retarder la mise en œuvre pour laisser le temps à une conformité plus large.

Sources : directive di CERT-In, ministère de l'Électronique et des Technologies de l'information, Access Now, India Code

Et vous ?

Quelle lecture en faites-vous ?

Voir aussi :

Le gouvernement indien bloque 43 applications mobiles chinoises, y compris AliExpress, pour s'être livrées à des activités préjudiciables à l'ordre public et à la souveraineté du pays
L'Inde décide de bloquer TikTok ainsi que 58 autres applications chinoises, évoquant un comportement malveillant quant à la collecte des données de ses citoyens

[Invité]

Bonsoir,

L'Inde ordonne aux sociétés VPN de collecter et de transmettre les données des utilisateurs . Des données qui seront stockées pendant au moins cinq ans même si le client a annulé son abonnement

Quelle lecture en faites-vous ?

Le gouvernement indien prend à tour des mesures anti démocratiques et liberticides pour mieux contrôler le web indien ... 1,25 milliards d'habitants cela doit "se maitriser" . C'est pas comme ci l'Inde était connue pour avoir des fuites de datas massives (dixit un ancien piratage de 500 millions de numéros de téléphone, la fuite de data d'une applis de quelques centaines de millions d'infos CNI ... ) . En terme de droit de l'homme ce qui est aussi contestable c'est l’interdiction des lignes de gsm satelitte . Pour de vagues questions de sécurité liées à des conflits avec le voisin pakistanais ^^ .

[Stéphane le calme]

Les entreprises VPN qui ne veulent pas se conformer aux nouvelles règles « devront se retirer du pays »,
l'Inde leur ordonne de collecter et de transmettre les données des utilisateurs

L'Inde va de l'avant avec ses nouvelles règles de cybersécurité qui obligeront les fournisseurs de services cloud et les opérateurs VPN à conserver les noms de leurs clients et leurs adresses IP et suggèrent aux entreprises qui ne veulent pas se conformer de se retirer du deuxième plus grand marché Internet au monde.

Fin avril, l'équipe d'intervention d'urgence informatique (CERT-in) du ministère de l'Électronique et des Technologies de l'information a ordonné aux fournisseurs de réseaux privés virtuels, aux centres de données et aux échanges de monnaies cryptographiques de conserver un large éventail de données sur leurs clients pendant cinq ans au moins, dans ce qu'il a dit être un effort « pour coordonner les activités d'intervention ainsi que les mesures d'urgence en cas d'incidents de cybersécurité ». C'est une politique qui rendra probablement la vie plus difficile pour les sociétés VPN et les utilisateurs VPN là-bas.

Le CERT-in a annoncé que les VPN du pays devront conserver les noms des clients, les adresses physiques et IP validées, les modèles d'utilisation et d'autres formes d'informations personnellement identifiables. Ceux qui ne se conforment pas pourraient potentiellement encourir jusqu'à un an de prison en vertu de la loi applicable citée dans la nouvelle directive.

Comme indiqué plus haut, la directive ne se limite pas aux fournisseurs de VPN. Les centres de données et les fournisseurs de services cloud sont tous deux répertoriés sous la même disposition. Les entreprises devront conserver les informations des clients même après que le client a annulé son abonnement ou son compte. Et, dans tous les cas, le CERT-in exigera des entreprises qu'elles signalent « l'accès non autorisé de leurs utilisateurs aux comptes de médias sociaux » :

« Le CERT-In analyse en permanence les cybermenaces et gère les cyberincidents qui lui sont signalés. Le CERT-In émet régulièrement des avis aux organisations et aux utilisateurs pour leur permettre de protéger leurs données/informations et leur infrastructure TIC. Afin de coordonner les activités de réponse ainsi que les mesures d'urgence face aux incidents de cybersécurité, le CERT-In sollicite des informations auprès des prestataires de services, des intermédiaires, des centres de données et des personnes morales.

« Au cours de la gestion des cyberincidents et des interactions avec la circonscription, le CERT-In a identifié certaines lacunes qui entravent l'analyse des incidents. Pour combler les lacunes et les problèmes identifiés afin de faciliter les mesures de réponse aux incidents, le CERT-In a publié des instructions relatives aux pratiques de sécurité de l'information, à la procédure, à la prévention, à la réponse et au signalement des cyberincidents en vertu des dispositions de la sous-section (6) de la section 70B de la Loi de 2000 sur les technologies de l'information. Ces directives entreront en vigueur après 60 jours.

« Les instructions couvrent les aspects relatifs à la synchronisation des horloges des systèmes TIC ; déclaration obligatoire des cyberincidents au CERT-In ; maintenance des journaux des systèmes TIC ; les détails des inscriptions des abonnés/clients par les centres de données, les fournisseurs de serveurs privés virtuels (VPS), les fournisseurs de services VPN, les fournisseurs de services Cloud ; les normes et pratiques KYC par les fournisseurs de services d'actifs virtuels, les fournisseurs d'échange d'actifs virtuels et les fournisseurs de portefeuilles de dépôt. Ces orientations doivent améliorer la posture globale de cybersécurité et garantir un Internet sûr et fiable dans le pays ».

La plupart des VPN offrent une politique de non-journalisation, une promesse publique contre la journalisation, la collecte ou le partage des données d'utilisation et de navigation des clients. Les principaux services comme ExpressVPN et Surfshark fonctionnent uniquement avec des serveurs à disque RAM et d'autres technologies sans journalisation, ce qui signifie que les VPN seraient théoriquement incapables de surveiller les URL répertoriées dans la directive. Si les VPN en Inde sont tenus en vertu de la nouvelle directive de conserver les données d'enregistrement des clients - ou de surveiller et de signaler l'utilisation des médias sociaux - beaucoup pourraient potentiellement enfreindre la loi simplement en continuant à fonctionner.

Le groupe de défense des droits numériques Access Now a rapporté le mois dernier que les coupures et interruptions d'Internet imposées par le gouvernement en Inde représentaient 106 des 182 actions gouvernementales de ce type dans le monde, soit près de 60 %. La directive fait également suite à des pics notables de la demande de VPN en Inde, où la société de recherche indépendante Top10VPN estime que les fermetures ont touché 59,1 millions d'utilisateurs en 2021.

Le délai d'application se rapproche, l'Inde hausse déjà le ton

Le CERT-in a précisé mercredi que « les fournisseurs de serveurs privés virtuels (VPS), les fournisseurs de services cloud, les fournisseurs de services VPN, les fournisseurs de services d'actifs virtuels, les fournisseurs d'échange d'actifs virtuels, les fournisseurs de portefeuilles de garde et les organisations gouvernementales » suivront la directive, appelée Cyber Security Directions, qui les oblige à stocker les noms, les adresses e-mail, les adresses IP, les enregistrements de connaissance de vos clients et les transactions financières des clients pendant une période de cinq ans.

Les nouvelles règles, qui ont été dévoilées à la fin du mois dernier et entreront en vigueur fin juin, ne seront pas applicables aux VPN d'entreprise, a précisé l'agence gouvernementale.

Plusieurs fournisseurs de VPN ont exprimé leurs inquiétudes concernant les nouvelles règles de cybersécurité de l'Inde. NordVPN, l'un des opérateurs VPN les plus populaires, a déclaré plus tôt qu'il pourrait supprimer ses services de l'Inde s'il « ne reste plus d'autres options ».

D'autres fournisseurs de services, dont ExpressVPN et ProtonVPN, ont également fait part de leurs préoccupations. « La nouvelle réglementation VPN indienne est une atteinte à la vie privée et menace de placer les citoyens sous un microscope de surveillance. Nous restons attachés à notre politique de non-journalisation », a déclaré ProtonVPN.

Rajeev Chandrasekhar, le jeune ministre indien de l'informatique, a déclaré que les fournisseurs de VPN qui souhaitent dissimuler qui utilise leurs services « devront se retirer ». Il a également déclaré qu'il n'y aurait pas de consultation publique sur ces règles.

New Delhi n'assouplit pas non plus une nouvelle règle qui oblige les entreprises à signaler les incidents de failles de sécurité tels que les violations de données dans les six heures suivant la découverte de tels cas. Chandrasekhar a déclaré que l'Inde était « très généreuse » en accordant aux entreprises six heures pour signaler les incidents de sécurité, pointant du doigt des pays comme l'Indonésie et Singapour qui, selon lui, avaient des exigences plus strictes.

« Si vous regardez la préséance dans le monde entier – et comprenez que la cybersécurité est un problème très complexe, où la connaissance de la situation de plusieurs incidents nous permet de comprendre la force plus importante qui la sous-tend – un rapport précis, ponctuel et obligatoire est un élément absolument essentiel de la capacité du CERT et du gouvernement à garantir qu'Internet est toujours sûr », a-t-il déclaré.

Plus tôt ce mois-ci, le groupe de défense des droits numériques basé à New Delhi, Internet Freedom Foundation, a déclaré que les nouvelles directives étaient vagues et compromettaient la confidentialité des utilisateurs et la sécurité des informations, « contrairement au mandat du CERT ».

D'un autre côté, beaucoup ont justifié la raison d'être de certains des changements.

« Il y a eu beaucoup de pression sur CERT-In avec des violations de données à grande échelle signalées dans toute l'Inde. La plupart des violations ont été niées par les entreprises et malgré son mandat, le CERT-In n'a jamais donné suite à ces rapports », a déclaré Srinivas Kodali, un chercheur.

L'épicier en ligne indien BigBasket, propriété de Tata, par exemple, a subi une prétendue violation de données qui a permis à des cybercriminels de récupérer les noms, adresses et numéros de téléphone d'environ 20 millions d'utilisateurs fin 2020. De nombreux utilisateurs ont confirmé que les données qui circulaient semblaient effectivement authentiques, car dans de nombreux cas, ils ont pu trouver leurs propres détails dans le dump de données. BigBasket reste discret sur le sujet.

L'Inde a l'habitude d'appliquer une main lourde à l'activité en ligne

En avril, l'Inde a interdit 22 chaînes YouTube. En 2021, Facebook, Google et Twitter ont mis fin à une confrontation tendue avec le gouvernement indien lorsqu'ils se sont largement conformés au contrôle élargi du gouvernement sur le contenu des médias sociaux dans le pays. En 2020, le pays a interdit plus de 200 applications chinoises, dont TikTok, et a finalement interdit 9 849 URL de médias sociaux.

Pour être plus précis, après avoir banni une première vague de 59 applications développées par des entreprises chinoises parmi lesquelles TikTok, évoquant un comportement malveillant quant à la collecte des données de ses citoyens, l'Inde a ajouté 118 applications à la liste, elles aussi développées par des entreprises chinoises. Le pays a fait allusion à des problèmes de sécurité dans un communiqué :

« Le ministère de l'Électronique et des Technologies de l'information, invoquant son pouvoir en vertu de l'article 69A de la loi sur les technologies de l'information, lu avec les dispositions pertinentes des règles de 2009 sur les technologies de l'information (procédure et garanties pour le blocage de l'accès à l'information par le public) et compte tenu du la nature émergente des menaces a décidé de bloquer 118 applications mobiles, car au vu des informations disponibles, elles se livrent à des activités préjudiciables à la souveraineté et à l'intégrité de l'Inde, à la défense de l'Inde, à la sécurité de l'État et à l'ordre public.

« Le ministère de l'Électronique et des Technologies de l'information a reçu de nombreuses plaintes de diverses sources, y compris plusieurs rapports sur l'utilisation abusive de certaines applications mobiles disponibles sur les plateformes Android et iOS pour voler et transmettre subrepticement les données des utilisateurs de manière non autorisée à des serveurs situés en dehors de l'Inde. La compilation de ces données, leur extraction et leur profilage par des éléments hostiles à la sécurité nationale et à la défense de l'Inde, qui empiètent en fin de compte sur la souveraineté et l'intégrité de l'Inde, sont un sujet de préoccupation très profonde et immédiate qui nécessite des mesures d'urgence.

« Le Centre indien de coordination de la cybercriminalité, au ministère de l'Intérieur, a également envoyé une recommandation exhaustive pour bloquer ces applications malveillantes. De même, il y a eu des préoccupations bipartites similaires, signalées par divers représentants publics, tant à l'extérieur qu'à l'intérieur du Parlement indien. Il y a eu un fort chœur dans l'espace public pour prendre des mesures strictes contre les applications qui portent atteinte à la souveraineté de l'Inde ainsi qu'à la vie privée de nos citoyens.

« Sur la base de ceux-ci et à la réception d'entrées crédibles récentes, les informations publiées, les autorisations demandées, les fonctionnalités intégrées ainsi que les pratiques de collecte de données des applications susmentionnées soulèvent de sérieuses préoccupations quant au fait que ces applications collectent et partagent des données de manière clandestine et compromettent les données et informations personnelles d'utilisateurs pouvant présenter une menace grave pour la sécurité de l'État.

« Dans l'intérêt de la souveraineté et de l'intégrité de l'Inde, de la défense de l'Inde et de la sécurité de l'État. Et en utilisant les pouvoirs souverains, le gouvernement indien a décidé de bloquer l'utilisation de certaines applications, utilisées à la fois dans les appareils mobiles et non mobiles compatibles Internet.

« Cette décision protégera les intérêts de millions d'utilisateurs indiens mobiles et Internet. Cette décision est une mesure ciblée visant à assurer la sûreté, la sécurité et la souveraineté du cyberespace indien. »

Source : FAQ du CERT-in

[Madmac]

Le gouvernement indien prend à tour des mesures anti démocratiques et liberticides pour mieux contrôler le web indien ... 1,25 milliards d'habitants cela doit "se maitriser" ?

Probablement pas toute la population, mais surtout la portion qui a tentence à décapiter des gens pour des raisons religieuses est probablement la motivation.

[Stéphane le calme]

Onze associations industrielles, parmi lesquelles Digital Europe, s'opposent au nouveau régime indien sur la sécurité de l'information,
et mettent en garde contre les dommages économiques

Fin avril, l'équipe d'intervention d'urgence informatique (CERT-in) du ministère de l'Électronique et des Technologies de l'information a ordonné aux fournisseurs de réseaux privés virtuels, aux centres de données et aux plateformes d'échanges de monnaies cryptographiques de conserver un large éventail de données sur leurs clients pendant cinq ans au moins, dans ce qu'il a dit être un effort « pour coordonner les activités d'intervention ainsi que les mesures d'urgence en cas d'incidents de cybersécurité ». C'est une politique qui rendra probablement la vie plus difficile pour les sociétés VPN et les utilisateurs VPN là-bas.

Le CERT-in a annoncé que les VPN du pays devront conserver les noms des clients, les adresses physiques et IP validées, les modèles d'utilisation et d'autres formes d'informations personnellement identifiables. Ceux qui ne se conforment pas pourraient potentiellement encourir jusqu'à un an de prison en vertu de la loi applicable citée dans la nouvelle directive.

Comme indiqué plus haut, la directive ne se limite pas aux fournisseurs de VPN. Les centres de données et les fournisseurs de services cloud sont tous deux répertoriés sous la même disposition. Les entreprises devront conserver les informations des clients même après que le client a annulé son abonnement ou son compte. Et, dans tous les cas, le CERT-in exigera des entreprises qu'elles signalent « l'accès non autorisé de leurs utilisateurs aux comptes de médias sociaux » :

« Le CERT-In analyse en permanence les cybermenaces et gère les cyberincidents qui lui sont signalés. Le CERT-In émet régulièrement des avis aux organisations et aux utilisateurs pour leur permettre de protéger leurs données/informations et leur infrastructure TIC. Afin de coordonner les activités de réponse ainsi que les mesures d'urgence face aux incidents de cybersécurité, le CERT-In sollicite des informations auprès des prestataires de services, des intermédiaires, des centres de données et des personnes morales.

« Au cours de la gestion des cyberincidents et des interactions avec la circonscription, le CERT-In a identifié certaines lacunes qui entravent l'analyse des incidents. Pour combler les lacunes et les problèmes identifiés afin de faciliter les mesures de réponse aux incidents, le CERT-In a publié des instructions relatives aux pratiques de sécurité de l'information, à la procédure, à la prévention, à la réponse et au signalement des cyberincidents en vertu des dispositions de la sous-section (6) de la section 70B de la Loi de 2000 sur les technologies de l'information. Ces directives entreront en vigueur après 60 jours.

« Les instructions couvrent les aspects relatifs à la synchronisation des horloges des systèmes TIC ; déclaration obligatoire des cyberincidents au CERT-In ; maintenance des journaux des systèmes TIC ; les détails des inscriptions des abonnés/clients par les centres de données, les fournisseurs de serveurs privés virtuels (VPS), les fournisseurs de services VPN, les fournisseurs de services Cloud ; les normes et pratiques KYC par les fournisseurs de services d'actifs virtuels, les fournisseurs d'échange d'actifs virtuels et les fournisseurs de portefeuilles de dépôt. Ces orientations doivent améliorer la posture globale de cybersécurité et garantir un Internet sûr et fiable dans le pays ».

La plupart des VPN offrent une politique de non-journalisation, une promesse publique contre la journalisation, la collecte ou le partage des données d'utilisation et de navigation des clients. Les principaux services comme ExpressVPN et Surfshark fonctionnent uniquement avec des serveurs à disque RAM et d'autres technologies sans journalisation, ce qui signifie que les VPN seraient théoriquement incapables de surveiller les URL répertoriées dans la directive. Si les VPN en Inde sont tenus en vertu de la nouvelle directive de conserver les données d'enregistrement des clients - ou de surveiller et de signaler l'utilisation des médias sociaux - beaucoup pourraient potentiellement enfreindre la loi simplement en continuant à fonctionner.

Le groupe de défense des droits numériques Access Now a rapporté le mois dernier que les coupures et interruptions d'Internet imposées par le gouvernement en Inde représentaient 106 des 182 actions gouvernementales de ce type dans le monde, soit près de 60 %. La directive fait également suite à des pics notables de la demande de VPN en Inde, où la société de recherche indépendante Top10VPN estime que les fermetures ont touché 59,1 millions d'utilisateurs en 2021.

Les oppositions de l'industrie

Onze importantes associations industrielles alignées sur la technologie du monde entier auraient écrit à l'équipe indienne d'intervention d'urgence informatique (CERT-In) pour demander la révision des nouvelles règles de déclaration et de conservation des données de la sécurité informatique du pays, qu'elles critiquent comme incohérentes, onéreuses, peu susceptibles d'améliorer la sécurité au sein de l'Inde, et peut-être nuisible à l'économie des nations.

Les règles ont été introduites fin avril et sont extraordinairement larges. Par exemple, les opérateurs de centres de données, de clouds et de VPN sont tenus d'enregistrer les noms des clients, les dates auxquelles les services ont été utilisés, et même les adresses IP des clients, et de stocker ces données pendant cinq ans.

Une autre exigence est de signaler plus de 20 types d'incidents infosec, même l'analyse de ports ou les tentatives de phishing, dans les six heures suivant la détection. Parmi les incidents à signaler figurent les « activités malveillantes/suspectes » dirigées vers presque tous les types d'infrastructures ou d'équipements informatiques, sans explication de la ligne de démarcation entre les activités malveillantes et suspectes.

Les nouvelles règles ont suscité de nombreuses critiques locales au motif qu'une fenêtre de rapport de six heures est trop courte, que l'obligation d'enregistrer les détails des utilisateurs VPN est une atteinte à la vie privée et que les exigences sont trop larges et représentent donc un fardeau de conformité onéreux.

Le CERT-In a répondu en publiant une FAQ qui répondait à certaines des critiques adressées aux nouvelles règles. Mais la FAQ reste très vague, n'offrant que des conseils limités sans aborder des questions telles que ce qui représente des « activités suspectes » à signaler.

Samedi, le média indien MediaNama a rapporté, ainsi que de nombreux autres médias indiens, que onze groupes de pression technologiques ou adjacents à la technologie avaient écrit au CERT-In pour exprimer leurs objections aux nouvelles règles.

Les signataires présumés sont des poids lourds : la Chambre de commerce des États-Unis, The Alliance (BSA), Digital Europe, l'Information Technology Industry Council, techUK, la Cybersecurity Coalition US Chamber of Commerce, le US-India Business Council et le US-India Business Council. Forum de partenariat stratégique figurent parmi les signataires. L'adhésion collective des organisations ci-dessus signifie que presque tous les fournisseurs de technologie importants sont représentés par un signataire de la lettre.

Parmi les objections soulevées par la lettre figurent :

• Un reportage de six heures est déraisonnable et n'est requis par aucune autre nation ou bloc ;
• La FAQ a confondu la situation - les règles exigent que les données conservées soient stockées dans une juridiction indienne, mais la FAQ indique que le stockage offshore est acceptable s'il ne gêne pas les enquêteurs indiens ;
• Le stockage des données client est fastidieux et crée un risque de sécurité ;
• Certaines des données de journal requises sont commercialement sensibles ;
• Les règles de CERT-In autorisent les rapports au format PDF, en utilisant des formats qui ne sont pas lisibles par machine, ce qui signifie que l'objectif déclaré de combler les lacunes en matière de renseignement au CERT-in a peu de chances d'être atteint.

La lettre à CERT-In suggère que les règles rendront la tâche plus ardue aux entreprises étrangères qui font des affaires en Inde, mettront le pays en désaccord avec ses alliés et entraîneront la répercussion des coûts sur les consommateurs. Les groupes appellent à une nouvelle consultation pour réviser les règles.

Le CERT-In est jusqu'à présent resté silencieux face aux critiques. Le ministre indien du Développement des compétences et de l'entrepreneuriat et de l'électronique et des technologies de l'information, Rajeev Chandrasekhar, a également écarté les critiques, affirmant que les fournisseurs de VPN qui n'aiment pas les règles peuvent choisir de quitter le pays.

Source : MediaNama

Et vous ?

Que pensez-vous de cette démarche ?

Voir aussi :

Le gouvernement indien bloque 43 applications mobiles chinoises, y compris AliExpress, pour s'être livrées à des activités préjudiciables à l'ordre public et à la souveraineté du pays
L'Inde décide de bloquer TikTok ainsi que 58 autres applications chinoises, évoquant un comportement malveillant quant à la collecte des données de ses citoyens

[OrthodoxWindows]

Que pensez-vous de cette démarche ?

Je soutient totalement cette démarche, aussi que toute autre opposition à l'abject "nouveau régime indien sur la sécurité de l'information".