En avril, l’Inde a adopté une loi qui limitera sévèrement l’activité des VPN dans le pays à partir du 27 juin 2022. Pourquoi la plus grande démocratie du monde a-t-elle décidé de suivre la voie tracée par certains des régimes les plus répressifs du monde, comme la Russie ou la Chine ? Plus important encore, ces nouvelles mesures seront-elles efficaces ?

ALTERNATIVES VPN : QUE POUVEZ-VOUS UTILISER EN PLUS D’UN VPN ?

La nouvelle loi

Tout d’abord, jetons un coup d’œil à la loi elle-même, qui a été élaborée par le CERT-In, l’équipe indienne de secours informatique. Elle se résume à un ensemble de protocoles KYC (know your customer) qui obligeront les VPN à enregistrer le nom, l’adresse électronique, l’adresse physique, l’adresse IP et le numéro de téléphone des utilisateurs. Les VPN devront également tenir des registres ; toutes ces informations devront être conservées pendant cinq ans (180 jours dans le cas de demandes techniques).

Bien que le fait de devoir révéler toutes vos données personnelles à un VPN soit déjà une mauvaise chose – même si, à moins que vous ne vous soyez inscrit de manière anonyme, le VPN en sait probablement déjà beaucoup sur vous – c’est l’obligation de tenir des registres qui suscite le plus de réticences parmi les utilisateurs de VPN. En effet, le fait d’avoir à conserver des journaux frappe au cœur même de ce que fait un VPN.

Dans ce cas, les journaux sont des enregistrements de l’endroit où vous vous êtes connecté et du moment où vous l’avez fait, et tout bon VPN digne de ce nom ne les conserve pas, cela fait partie de son engagement en faveur de la confidentialité. Le seul VPN légitimement privé est un VPN sans logs, et donc forcer un VPN à les conserver va à l’encontre de leur objectif même.

Pas seulement les VPN

Cela dit, il convient de préciser que les VPN ne sont pas les seuls à être visés par cette loi, qui s’attaque aux fournisseurs de toutes sortes de services numériques. Les fournisseurs d’hébergement Web, par exemple, ainsi que les bourses de crypto-monnaies et les fournisseurs de VPS sont tous censés appliquer ces nouvelles directives KYC. D’une certaine manière, cela va créer une sorte de base de données des internautes indiens.

Pourquoi elle est mise en œuvre

En l’état, la nouvelle loi aura des effets considérables sur l’internet indien. Le gouvernement semble le comprendre, mais affirme que cette loi est nécessaire pour endiguer la cybercriminalité, en particulier la fraude financière.

Il est indéniable que le problème est assez grave : les banques indiennes, par exemple, ont fait état de 5 000 milliards de roupies (13 milliards de dollars) de dommages dans leurs livres en mai 2021. Les chiffres concernant la fraude à la consommation sont beaucoup plus difficiles à trouver, mais plusieurs rapports font état de sommes importantes qui handicapent les victimes, parfois à vie. Les États-Unis sont également victimes d’appels frauduleux en provenance du sous-continent.

Selon le CERT lui-même, il a traité près de 1,5 million de rapports de cybercriminalité en 2021 ; c’est un chiffre assez élevé, même si l’on tient compte du fait qu’il est fort probable que de nombreuses personnes ne prennent pas la peine de signaler les incidents.

En obligeant les services en ligne à enregistrer les utilisateurs, le gouvernement indien espère rendre plus difficile la perpétration de ces crimes. Si le VPN que vous utilisez pour masquer votre activité sait qui vous êtes, il sera plus facile de vous attraper. Toutefois, les criminels ne sont pas les seuls à utiliser les VPN pour dissimuler leur activité, les militants politiques et les journalistes le sont également.

Préoccupations en matière de droits de l’homme

Cette situation est plutôt inquiétante, car l’Inde est mal classée par les organisations internationales de défense des droits de l’homme. Un rapport d’Amnesty International décrit en détail les mesures de répression prises par le gouvernement indien à l’encontre des minorités ainsi que des agriculteurs qui protestaient contre la politique du gouvernement en 2021. Le rapport explique comment l’Inde a mis en place « un appareil de surveillance massif et illégal ».

Selon Reuters, signaler ou dénoncer ces activités signifie que vous serez confronté à une pression encore plus forte de la part du gouvernement. Des journalistes et des militants indiens affirment que leurs téléphones ont été piratés et mis sur écoute.

Si la loi sera certainement un outil utile pour lutter contre la cybercriminalité – même s’il ne faut jamais sous-estimer l’ingéniosité des personnes qui tentent de s’en tirer – elle pourrait être utilisée à d’autres fins. Selon Mishi Choudhary du Software Freedom Law Center, dans une interview accordée au magazine Wired : « il semble que le gouvernement indien utilise chaque opportunité pour rendre l’accès à l’internet beaucoup plus contrôlé, ainsi que surveillé. »

Reste à savoir si ce contrôle ne visera que les escrocs et les fraudeurs ou s’il visera également les journalistes, les avocats et autres militants.

Ce que cela signifie pour les VPN

Cependant, si le gouvernement indien tente d’exercer un contrôle accru sur l’internet du pays, il semble qu’il ne le fera pas sans rencontrer une certaine résistance. En ce qui concerne les VPN, les principaux fournisseurs de VPN comme ExpressVPN et Surfshark ont annoncé qu’ils se retiraient du pays, tout comme NordVPN. Nous ne pouvons que supposer que beaucoup d’autres suivront.

Cela ne signifie pas que les utilisateurs indiens de VPN – qui, selon les chiffres recueillis par AtlasVPN, représentent environ 20 % de la population – sont totalement sans recours. Dans ce cas, « se retirer » signifie que ces fournisseurs de VPN abandonneront simplement leurs serveurs en Inde, mais permettront toujours l’accès aux serveurs dans d’autres pays.

Par exemple, un utilisateur de New Delhi, qui accédait normalement à l’internet par le biais d’un serveur situé à Mumbai, devra désormais y accéder par le biais d’un serveur situé dans un autre pays. Bien que cela ne soit probablement pas un problème pour un grand nombre de personnes, cela en gênera beaucoup d’autres, car un serveur plus éloigné ralentira leur connexion.

Un autre problème est qu’en retirant leurs serveurs de l’Inde, les clients VPN ne seront plus en mesure d’utiliser des adresses IP indiennes. Le plus probable est que ce problème sera résolu par l’utilisation de serveurs virtuels : des machines qui peuvent usurper des adresses IP, vous donnant une IP indienne alors qu’elle est basée ailleurs. Cela dit, ces serveurs virtuels ne sont pas toujours fiables, et il n’est pas certain que la loi indienne puisse donner à CERT-In l’autorité sur les IP indiennes.

Contourner la loi

La question demeure, cependant, de savoir à quel type d’action les VPN peuvent être confrontés pour avoir contourné la nouvelle loi : par exemple, si les VPN seront sanctionnés d’une certaine manière pour avoir permis aux utilisateurs indiens d’accéder sans les enregistrer. Cette question et bien d’autres ne trouveront probablement de réponse que lorsque la loi entrera en vigueur.

Naturellement, les fournisseurs de VPN ne seront pas les seuls à essayer de contourner la nouvelle loi, les utilisateurs eux-mêmes ont plusieurs options à leur disposition. Comme nous le voyons en Chine, les gens trouvent des moyens nouveaux et innovants d’accéder à l’internet gratuit. La nouvelle loi interdit l’utilisation d’un VPN ou d’un serveur basé en Inde, mais cela ne veut pas dire que les gens ne trouveront pas un autre moyen.

Quoi qu’il arrive, il semble que l’internet indien ne sera plus comme avant.