Il semblerait que même les outils censés vous protéger ne soient pas fiables… Des extensions gratuites d’Avast et AVG (filiale d’Avast) ont collecté les données personnelles de millions d’utilisateurs qui les avaient installées sur Mozilla Firefox, Google Chrome et Opera.

Des données pour identifier précisément les utilisateurs

C’est le créateur d’Adblock Plus, Wladimir Palant, qui s’en est rendu compte il y a plus d’un mois. Les extensions Avast Online Security, AVG Online Security (destinées à vous prévenir si un site est malveillant), ainsi qu’Avast SafePrice et AVG SafePrice (qui permettent de trouver les prix les plus bas pour des services) ont ainsi récolté des données particulièrement douteuses sur de nombreux internautes.

En utilisant des outils de développeurs, Wladimir Palant a pu déterminer quelles informations avaient été collectées, et la liste est longue : URL, historique de navigation, le code du pays, si la page a déjà été visitée, comment vous êtes arrivés sur la page, la version du système d’exploitation de votre appareil, est-ce qu’Avast est installé dessus… Selon Palant, c’est bien plus que ce qui est nécessaire aux extensions afin d’accomplir leurs tâches.

“Les identifiants des onglets et des fenêtres, ainsi que vos actions, permettent à Avast de reconstituer de manière précise votre comportement lorsque vous naviguez : combien d’onglets sont ouverts, quels sites web vous visitez et quand, combien de temps vous passez à lire ou à regarder un message”, a-t-il expliqué.

Qu’on fait les navigateurs ?

Contacté par Gizmodo, un porte-parole d’AVAST s’est défendu en affirmant que toutes ces données étaient nécessaires à la firme afin de protéger au mieux les utilisateurs. Néanmoins, difficile de savoir à quoi la localisation exacte d’une personne lui sert vraiment…

De son côté, Wladimir Palant a récemment tenu au courant les navigateurs concernés. En effet, cette pratique va directement à l’encontre de leur politique en récupérant des données à l’insu des utilisateurs. Mozilla Firefox les a retirées temporairement de sa boutique, mais elles devraient y être réintégrées après avoir fait quelques changements. Les extensions ont également été supprimées d’Opera. En revanche, elles sont toujours présentes dans le Chrome Web Store…

Ce n’est pas la première fois qu’un logiciel ou une extension censé garantir notre sécurité est mis à mal. Il y a deux ans, une faille de sécurité importante était mise au jour dans la plupart des anti-virus.

MISE À JOUR 12/12/2019 : Avast s’est exprimé sur le sujet, en expliquant avoir besoin de ces données pour que les extensions puissent être efficaces et protéger les utilisateurs. Voici leur communiqué :

« La sécurité et la confidentialité de nos utilisateurs sont la priorité absolue d’Avast et pour cette raison, nous avons mis en place des pratiques complètes de protection des données. Récemment, des rapports erronés ont affirmé que nous vendions des données personnelles à des tiers.

Pour que nos extensions fassent leur travail de détection et de blocage des menaces, nous devons être en mesure de collecter des données URL. C’est ainsi que nos solutions antivirus et d’autres fonctionnent. Pour cela, nous n’avons pas besoin de données personnellement identifiables. Par conséquent, et pour protéger la confidentialité de nos utilisateurs, les données que nous collectons sont supprimées de toutes les informations personnelles identifiables (PII), ce qui signifie qu’elles sont stockées dans un format complètement anonymisé.

Nous partageons également ces données statistiques agrégées avec notre propre société d’analyse marketing, Jumpshot, nous sommes transparents à ce sujet avec nos clients depuis son lancement. Nous écoutons les préoccupations, croyons en l’adoption de nouvelles pratiques selon les besoins et nous sommes en train de mettre en œuvre des changements dans nos extensions conformément à la nouvelle politique de confidentialité de Mozilla.

Nous nous efforçons de collecter uniquement les données nécessaires à la prestation de nos services. Avast suit les meilleures pratiques de l’industrie conformes au GDPR, qui sont décrites dans sa politique de confidentialité. Nous avons également un portail de confidentialité sur lequel les clients de nos produits peuvent se connecter et vérifier quelles données personnelles nous détenons à leur sujet. »