Avast est un antivirus connu et utilisé par des millions de personnes dans le monde. Une fuite de documents que relate Vice nous apprend aujourd’hui que l’antivirus collecte les données de navigation Web de millions de personnes pour les vendre à de nombreuses grandes entreprises mondiales, parmi lesquelles figurent Pepsi, Google, Microsoft et même Yelp ou Sephora. Avast est aujourd’hui au coeur de cette histoire alors même qu’en avril 2018, l’antivirus faisait partie des 34 sociétés signataires d’un accord visant la défense et la protection de leurs clients sur internet.

Grâce à Jumpshop, Avast vend les données de ses clients

Les données que recueillent les antivirus sont très souvent susceptibles d’être des données sensibles. Et cela n’a pas pu échapper à Avast. Cependant, dans un rapport d’enquête menée par Motherboard et PCMag, il est révélé qu’Avast vend les données de navigation Web à plusieurs entreprises importantes à l’échelle mondiale et que bien souvent, cette transaction reste secrète entre les deux parties.

Au travers d’Avast, ce serait Jumpshot qui serait précisément concerné. Il s’agit en fait d’une filiale d’Avast. Des documents issus du rapport montrent que dès lors que le programme antivirus est installé sur un ordinateur, il est possible de recueillir des données, cela avant que ces dernières ne soient reconditionnées par Jumpshot, et le tout avant de les proposer à la vente à de grandes entreprises mondiales, telles que Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intruit et bien d’autres encore. Ce qu’achètent ces entreprises ce sont des flux de clics, des données qui retracent le suivi du comportement de l’utilisateur, les clics et déplacements sur les sites web d’une manière assez précise et souvent, ils dépensent plusieurs millions de dollars pour obtenir ces informations.

Pour autant et malgré le suivi activé, les documents n’indiquent pas que des données personnelles sont collectées. Cependant, selon plusieurs experts, certaines données sont suffisamment précises pour permettre de révéler l’identité de leur propriétaire.

Les entreprises exploitent les données pour améliorer leurs activités, produits et services

Les auteurs du rapport ont contacté la majeure partie des entreprises y figurant. Si une poignée seulement a accepté de répondre, un porte-parole de Home Depot a déclaré : “Nous utilisons parfois des informations provenant de fournisseurs tiers pour améliorer nos activités, nos produits et nos services. Nous exigeons que ces fournisseurs disposent des droits appropriés pour partager ces informations avec nous. Dans ce cas, nous recevons des données d’audience anonymes” et dans ce cas précis, cela ne permet pas de mettre une identité sur un utilisateur.

Ce que les entreprises achètent précisément, c’est souvent un flux d’environ 10 000 domaines visités par les utilisateurs ayant activé Avast, et dont la récupération permet aux entreprises d’estimer les prochaines tendances, et donc d’adapter leur travail en fonction.
Jumpshot est en mesure de dire à une entreprise ou même à quiconque comment un utilisateur a procédé pour rechercher un produit et l’acheter. Il peut indiquer chaque recherche faite, chaque clic mais aussi chaque achat : Jumpshot s’est d’ailleurs vanté de cela sur Twitter il y a quelques semaines.

Pour que vos données de navigation Web ne soient pas stockées ni vendues à qui que ce soit, il reste une solution : refuser de participer à la collecte de données au moment de l’installation de l’antivirus. Car la transmission des données est belle et bien évoquée à ce moment là, Avast indique donc : « Si vous le permettez, nous fournirons à notre filiale Jumpshot Inc. un ensemble de données dépouillé et dépersonnalisé dérivé de votre historique de navigation afin de permettre à Jumpshot d’analyser les marchés et les tendances commerciales et de recueillir d’autres informations précieuses. Les données sont totalement anonymisées et agrégées et ne peuvent pas être utilisées pour vous identifier ou vous cibler personnellement. Jumpshot peut partager des informations agrégées avec ses clients« .

À la suite de notre article, Avast a tenu à communiquer sa réponse :

En décembre 2019, nous avons rapidement pris les mesures nécessaires pour répondre aux normes des boutiques d’extensions des navigateurs et nous sommes maintenant conformes à leurs exigences en ce qui concerne nos extensions de sécurité en ligne. Dans le même temps, nous avons complètement cessé d’utiliser les données des extensions de navigateur à d’autres fins que le moteur de sécurité principal, y compris le partage avec notre filiale Jumpshot.

Nous veillons à ce que Jumpshot n’acquière pas d’information d’identification personnelles, notamment le nom, l’adresse email ou encore les coordonnées. Les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot. En juillet 2019, nous avions déjà commencé à mettre en place un choix explicite d’acceptation ou de refus pour tous les nouveaux téléchargements de notre logiciel, et nous invitons maintenant nos utilisateurs gratuits actuels à faire un choix d’acceptation ou de refus, un processus qui sera achevé en février 2020.

Notre politique de confidentialité détaille les protections que nous mettons en place pour tous nos utilisateurs. Ces derniers peuvent également choisir d’ajuster leur niveau de confidentialité en utilisant le large éventail de paramètres disponibles dans nos produits, y compris le contrôle de tout partage de données à tout moment. Nous nous conformons volontairement aux exigences du RGPD et de la Loi sur la protection du consommateur de Californie (CCPA) en matière de protection de la vie privée pour l’ensemble de notre base d’utilisateurs mondiale.

Nous avons une longue expérience de la protection des appareils et des données des utilisateurs contre les logiciels malveillants. Nous comprenons et prenons au sérieux la responsabilité d’équilibrer la vie privée des utilisateurs avec l’utilisation nécessaire des données pour nos principaux produits de sécurité.