Le fournisseur de réseau privé virtuel (VPN) ExpressVPN a annoncé jeudi qu’il supprimait les serveurs VPN basés en Inde en réponse à une nouvelle directive sur la cybersécurité émise par l’équipe indienne d’intervention d’urgence informatique (CERT-In).
« Rassurez-vous, nos utilisateurs pourront toujours se connecter aux serveurs VPN qui leur donneront des adresses IP indiennes et leur permettront d’accéder à Internet comme s’ils se trouvaient en Inde », a déclaré la société. a dit. « Ces serveurs indiens » virtuels « seront plutôt physiquement situés à Singapour et au Royaume-Uni »
Le développement intervient alors que le CERT-In a imposé de nouvelles controversé les exigences de conservation des données qui doivent entrer en vigueur le 27 juin 2022 et obligent les fournisseurs de services VPN à stocker les vrais noms, coordonnées et adresses IP des abonnés pendant au moins cinq ans.
Les données utilisateur enregistrées, a souligné CERT-In, ne seront demandées qu’aux fins de « réponse aux cyberincidents, actions de protection et de prévention liées aux cyberincidents ».
L’agence a depuis clarifié que cette règle ne s’applique pas aux solutions VPN d’entreprise et d’entreprise et ne vise que les opérateurs qui fournissent des services de type proxy aux « abonnés/utilisateurs Internet généraux ».
« La nouvelle loi sur les données […]destiné à aider à lutter contre la cybercriminalité, est incompatible avec l’objectif des VPN, qui sont conçus pour garder l’activité en ligne des utilisateurs privée », a déclaré ExpressVPN. « La loi est également trop large et si large qu’elle ouvre la porte à des abus potentiels.
Les règles, appelées Cyber Security Directions, obligent également les entreprises à signaler les incidents de failles de sécurité tels que les violations de données et les attaques de ransomware dans les six heures suivant leur détection.