S'il y a bien un logiciel auquel on a tendance à faire confiance sur son ordinateur, c'est son antivirus. Pourtant, comme beaucoup de services prétendument gratuits sur internet, certains aspirent vos données personnelles afin de les revendre.
D'après une enquête commune de Motherboard (Vice) et de PCMag, c'est le cas du très populaire Avast. L'entreprise utilise ses plug-ins pour navigateurs, comme Avast Online Security, pour récupérer d'importantes quantités de données.
Celles-ci sont ensuite transmises à sa filiale Jumpshot, afin d'être repackagées sous forme de différents produits puis vendues à sa clientèle. Jumpshot disposerait des données de plus de 100 millions d'appareils.
Promettant «chaque recherche, chaque clic, chaque achat, sur tous les sites», la société a mis sur le marché un produit baptisé All Clicks Feed, qui permet pour quelques millions de dollars d'avoir accès à l'intégralité des clics détectés sur un nom de domaine donné.
Parmi les clients listés sur le site de Jumpshot, on retrouve certaines des plus grosses entreprises du monde: Google, Microsoft, Unilever ou Condé Nast. Les informations vendues sont très précises: elles incluent toute l'activité de navigation, c'est-à-dire le nombre d'onglets ouverts, le temps passé sur une page, où la personne a cliqué, ses coordonnées, etc. Jumpshot propose également de connaître les âge et genre supposés des internautes.
Anonymisation jamais garantie
Ces pratiques ont été révélées en octobre 2019 sur le blog de Wladimir Palant, le créateur d'Adblock Plus, qui précisait qu'une collecte d'une telle ampleur n'est pas nécessaire au fonctionnement du plug-in en question.
Les données ne contiennent pas les identités des internautes, mais comme toujours avec des informations aussi précises, il est impossible de garantir que tout soit définitivement anonymisé.
Avast a assuré à Motherboard et PCMag avoir mis un terme à la collecte de telles masses de données via ses plug-in. Seulement, selon des documents que les deux médias ont pu consulter, ceux-ci affirment qu'Avast a tout simplement changé de technique.
Quelques mois après que son extension navigateur a arrêté son activité d'aspiration, c'est l'antivirus qui a pris le relai. Ses 435 millions d'utilisateurs et utilisatrices ont alors reçu un message leur demandant d'opter pour le partage des données –des demandes généralement acceptées sans être lues ou comprises.
À la suite de la parution de cet article, Avast a tenu à clarifier la situation dans un message qu'elle nous a adressé: «En décembre 2019, nous avons rapidement pris les mesures nécessaires pour répondre aux normes des boutiques d'extensions des navigateurs et nous sommes maintenant conformes à leurs exigences en ce qui concerne nos extensions de sécurité en ligne. Dans le même temps, nous avons complètement cessé d'utiliser les données des extensions de navigateur à d'autres fins que le moteur de sécurité principal, y compris le partage avec notre filiale Jumpshot.»
L'entreprise explique également que ses utilisateurs et utilisatrices peuvent «choisir d'ajuster leur niveau de confidentialité en utilisant le large éventail de paramètres disponibles dans nos produits, y compris le contrôle de tout partage de données à tout moment», et qu'elle se conforme «volontairement aux exigences du RGPD et de la loi sur la protection du consommateur de Californie (CCPA) en matière de protection de la vie privée pour l'ensemble de notre base d'utilisateurs mondiale».
