Quand votre antivirus Avast vous espionne et revend vos données à des tiers

Avast, l’antivirus utilisé par des centaines de millions de personne dans le monde espionne et revend les données de navigation des utilisateurs à la plupart des grandes entreprises mondiales, indique une enquête conjointe des sites Motherboard et PCMag.

Le logiciel installé sur l’ordinateur recueille les informations. Ensuite, via Jumpshot, une filiale d’Avast, ces données sont converties en différents produits vendus à des entreprises telles que Google, Yelp, Microsoft, McKinsey, Pepsi ou encore Condé Nast. Ces clients paient jusqu’à des millions de dollars pour des produits qui incluent un « flux de clics », à savoir un enregistrement du comportement des utilisateurs, de leurs clics et de leur navigation sur différents sites.

Désanonymisation des données

Avast aurait à son actif plus de 435 millions d’utilisateurs par mois. Jumpshot affirme disposer de données provenant de 100 millions d’ordinateurs. Avast dit ne récolter que les données des utilisateurs consentants. Toutefois, plusieurs utilisateurs de l’antivirus ont expliqué à Motherboard qu’ils n’étaient pas au courant qu’Avast avait vendu leurs données de navigation.

Les informations collectées englobent les requêtes sur le moteur de recherche Google, les recherches de lieux et de coordonnées GPS sur Google Maps, les recherches sur le réseau professionnel LinkedIn des entreprises, la consultation des vidéos YouTube et des sites Web pornographiques.

Bien que les données n’incluent pas d’informations personnelles telles que les noms des utilisateurs, elles contiennent toujours une multitude de données de navigation spécifiques. Certains experts affirment par ailleurs qu’il pourrait être possible de désanonymiser certains utilisateurs.

Jusqu’à récemment, Avast collectait les données de navigation de ses clients qui avaient installé le plug-in pour navigateur de l’entreprise, conçu pour avertir les utilisateurs de sites Web suspects. Cependant, en octobre de l’année dernière, Wladimir Palant, chercheur en sécurité et créateur d’AdBlock Plus, a expliqué dans un billet sur son blog que cette collecte n’était pas nécessaire pour garantir les services fournis par le plug-in, contrairement à ce qu’affirmait Avast.

Changement de technique de collecte des données

Avast a affirmé avoir cesser d’envoyer des données de navigation collectées par ces extensions à Jumpshot. Mais l’entreprise aurait tout simplement changé de manière de procéder. Au lieu de collecter des informations via un logiciel attaché au navigateur, elle le ferait à travers le logiciel antivirus lui-même.

Pour ce faire, Avast a commencé à demander à ses utilisateurs d’antivirus gratuits de participer à la collecte de données, selon un document interne. Mais bien qu’Avast demande actuellement aux utilisateurs de réactiver la collecte de données via une fenêtre contextuelle dans le logiciel antivirus, plusieurs utilisateurs ont déclaré qu’ils ne savaient pas que leurs données de navigation étaient commercialisées.

« Chaque recherche. Chaque clic. Chaque achat. Sur chaque site. »

Jumpshot vend une variété de produits différents basés sur les données collectées par le logiciel antivirus Avast installé sur les ordinateurs des utilisateurs. Pour tender de repérer les tendances, les clients du secteur de la finance institutionnelle achètent souvent un flux des 10.000 domaines principaux que les utilisateurs d’Avast visitent.

Jumpshot propose également un produit nommé « All Click Feed ». Ce dernier offre aux clients la possibilité d’accéder à des informations sur tous les clics que Jumpshot a vus sur un domaine particulier, comme Amazon.com, Walmart.com, Target.com, BestBuy.com ou Ebay.com.

Dans un tweet envoyé le mois dernier destiné à attirer de nouveaux clients, Jumpshot se vantait de pouvoir recueillir « Chaque recherche. Chaque clic. Chaque achat. Sur chaque site ».

Des données presque impossible à dépersonnaliser

« Il est presque impossible de dépersonnaliser les données », a déclaré Eric Goldman, professeur à la faculté de droit de l’Université de Santa Clara. « Quand ils promettent de dépersonnaliser les données, je ne le crois pas. »

Motherboard et PCMag ont posé à Avast une série de questions détaillées sur la façon dont l’enteprise protège l’anonymat des utilisateurs ainsi que des détails sur certains des contrats. Avast n’a pas répondu à la plupart des questions. Toutefois, elle a expliqué s’assurer que Jumpshot n’acquérait pas d’informations d’identification personnelle telles que le nom, l’adresse e-mail ou les coordonnées des personnes utilisant le logiciel antivirus.

« Les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot. En juillet 2019, nous avions déjà commencé à mettre en place un choix explicite d’acceptation ou de refus pour tous les nouveaux téléchargements de notre logiciel, et nous invitons maintenant nos utilisateurs gratuits actuels à faire un choix d’acceptation ou de refus, un processus qui sera achevé en février 2020.”

La société a en outre déclaré se conformer aux exigences du RGPD et de la Loi sur la protection du consommateur de Californie (CCPA) en matière de protection de la vie privée pour l’ensemble de sa base d’utilisateurs mondiale.

Enfin, suite à cette enquête, Avast a finalement annoncé qu’elle arrêterait la collecte de données Jumpshot et mettrait fin aux opérations de Jumpshot avec effet immédiat.