Avast, le célèbre antivirus gratuit utilisé par plus de 435 millions de personnes, enregistre des données sur « chaque recherche, chaque clic et chaque achat » de sa clientèle, révèle une enquête conjointe du site Motherboard et du magazine PCMag.
C’est à travers sa filiale Jumpshot, qui a déjà fait affaire avec Google, Microsoft, Pepsi, Yelp et Home Depot, qu’Avast revend les données de ses utilisateurs et utilisatrices. D’après des documents et contrats obtenus par les deux médias, certains de ses produits liés à l’historique de navigation de sa clientèle se vendent pour des millions de dollars.
Un de ces produits se nomme « All Clicks Feed » (traduction libre : fil de tous les clics). Ce dernier contient les données détaillées de tous les comportements et clics des internautes. Il est par exemple possible de savoir – à la milliseconde près – sur quel site naviguaient les utilisateurs et utilisatrices et quels liens étaient cliqués.
Des données anonymes… en théorie
En théorie, les données de navigation vendues par Jumpshot sont anonymisées. Cela veut dire que des entreprises qui les achètent s’en servent principalement pour déceler les grandes tendances des sites web comme YouTube et Amazon.
Toutefois, des documents obtenus par Motherboard et PCMag indiquent que l’entreprise Omnicom, le deuxième plus important réseau d’agences de publicité et de communication mondial, a acheté un All Clicks Feed qui contenait aussi les identités d’appareil (Device ID) liées à chacune des données vendues.
Ces documents expliquent que l’identité d’appareil reste toujours le même à moins que l’utilisateur désinstalle et réinstalle le logiciel de sécurité. Cela veut donc dire qu’il serait possible pour Omnicom de tout savoir sur l’historique de navigation d’une personne en particulier, sans pour autant connaître son identité.
Plusieurs spécialistes de cybersécurité indiquent toutefois depuis des années que de telles données anonymes peuvent être associées à une seule personne. Une étude menée en 2017 par une équipe de recherche de l’Université Stanford abonde dans le même sens.
Avast se défend
Dans une déclaration écrite, Avast s’est défendue en disant que les utilisateurs et utilisatrices de son antivirus gratuit ont ont toujours eu la possibilité de refuser de partager des données avec Jumpshot.
Elle ajoute qu’en juillet 2019, elle avait déjà commencé à offrir un choix explicite d’acceptation ou de refus pour tous les nouveaux téléchargements [du] logiciel et qu’elle offrira ce choix aux utilisateurs et utilisatrices en février.
Une extension problématique
En décembre, il a été révélé que Mozilla avait retiré quatre extensions proposées par Avast de sa boutique d’extensions pour le navigateur Firefox parce qu’elles collectaient l’historique de navigation des internautes.
À l’époque, le PDG de l’entreprise, Ondrej Vleck, a minimisé l’importance de la situation en rappelant que les données étaient anonymisées.
Avant d’arriver sur les serveurs d’Avast, les données sont débarrassées de tout ce qui pourrait dévoiler l’identité d’une personne, comme un nom dans une URL ou le moment de connexion à Facebook, avait-il indiqué.
Ondrej Vleck avait alors affirmé que l’exploitation de données d’Avast ne représentait que 5 % du chiffre d’affaires total d’Avast, qui a généré plus de 830 millions de dollars en 2019.
Notons qu’Avast est également propriétaire de l’antivirus gratuit AVG, qui partage également les données de navigation de ses utilisateurs et utilisatrices avec Jumpshot.
Par Radio Canada