Le mois dernier, nous évoquions le fait qu'Avast profiterait de sa position privilégiée au sein du marché pour collecter et monétiser les données de navigation de ses clients, depuis au moins 2013. Cette situation a conduit à l’étiquetage de certains des outils développés par l’éditeur tchèque en tant que « spyware ». Mozilla et Opera, par exemple étaient suffisamment au fait et inquiets de cette pratique pour supprimer certains outils Avast de leurs magasins d’extensions début décembre.Récemment, dans une tentative visant à rassurer le marché, Ondrej Vlcek, le nouveau DG d’Avast, a confié au média Forbes qu’il n’y avait malgré tout pas de scandale lié à la protection de la vie privée dans cette affaire, affirmant que la totalité des informations sur les utilisateurs collectées et vendues par sa boite ne permettaient en aucun de remonter jusqu’aux utilisateurs originels. Dans un souci de transparence apparent, il a également révélé que ces pratiques assurent à son groupe des gains non négligeables représentant environ 5 % du revenu total (soit plus de 20 millions de dollars en 2019).
Voici comment ça marche, selon Vlcek : l’activité Web des utilisateurs d’Avast est recueillie par les extensions de navigateur de l’entreprise. Mais avant d’arriver sur les serveurs d’Avast, ces données sont anonymisées, c’est-à-dire dépouillées de tout ce qui pourrait révéler l’identité d’une personne. Toutes ces données sont ensuite analysées par Jumpshot, une société rachetée par Avast en 2013, avant d’être vendues comme « ;insights ;» aux clients potentiels.
Vlcek indique que Jumpshot fournit « ;un aperçu de la façon dont les cohortes d’internautes utilisent le Web ;», en affichant par exemple, le pourcentage des visiteurs qui sont passés d’un site Web à un autre, et pourrait de ce fait être utile à quiconque surveille une campagne publicitaire. Il peut aider les entreprises à déterminer l’intérêt que leur produit suscite en ligne et suivre ce que les utilisateurs recherchent ou comment ils interagissent avec une marque ou un produit particulier. À ce propos, le patron d’Avast a expliqué : « Les clients typiques seraient, par exemple, des investisseurs qui seraient intéressés par l’état d’avancement des nouvelles campagnes des entreprises en ligne ». Quelle est la place de la protection de la vie privée dans tout ça ?
Vlcek compare ce type d’échange de données à celui que l’on observe dans le domaine des soins de santé. Sur ce marché, les données anonymes sont utilisées pour créer des études de cas, où l’examen des tendances des données permet de déterminer qui est le plus susceptible de contracter une maladie. C’est ce procédé qui aurait permis à l’éditeur de l’antivirus Avast de publier plus tôt cette année un rapport sur les tendances PC en 2019 révélant plus de la moitié des logiciels installés sur PC sont obsolètes.
Des rapports qui ont fuité
Une enquête menée par Motherboard et PCMag donne un peu plus d'informations à ce sujet. Dans le rapport où ils affirment qu'Avast vend des données de navigation Web très sensibles à de nombreuses plus grandes entreprises du monde, ils indiquent s'appuyer sur des données utilisateur, des contrats et d'autres documents d'entreprise qui ont été divulgués et qui montrent que la vente de ces données est à la fois très sensible et est dans de nombreux cas censée rester confidentielle entre l'entreprise qui vend les données et les clients qui les achètent.
Les documents, issus de la filiale d'Avast appelée Jumpshot, permettent d'en savoir plus sur la vente secrète et la chaîne d'approvisionnement des historiques de navigation Internet des utilisateurs. Selon les résultats de l'enquête, ils montrent que le programme antivirus Avast installé sur l'ordinateur d'une personne recueille des données, et que Jumpshot les reconditionne en différents produits qui sont ensuite vendus à la plupart des plus grandes entreprises du monde. Certains clients passés, présents et potentiels incluent Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit et bien d'autres. Certains clients ont payé des millions de dollars pour des produits qui incluent ce que l'on appelle un flux de clics, qui peut suivre le comportement des utilisateurs, les clics et les déplacements sur les sites Web de manière très précise.
Avast prétend avoir plus de 435 millions d'utilisateurs actifs par mois, et Jumpshot affirme qu'il dispose de données provenant de 100 millions d'appareils. En principe, Avast recueille des données auprès des utilisateurs qui donnent leur consentement et les fournit ensuite à Jumpshot, mais plusieurs utilisateurs d'Avast ont déclaré à Motherboard qu'ils n'étaient pas au courant qu'Avast avait vendu des données de navigation, ce qui soulève des questions sur la façon dont ce consentement est éclairé.
Les données obtenues par Motherboard et PCMag incluent les recherches Google, les recherches de lieux et de coordonnées GPS sur Google Maps, les personnes visitant les pages LinkedIn des entreprises, notamment les vidéos YouTube et les personnes visitant les sites Web pornographiques. Il est possible de déterminer à partir des données collectées la date et l'heure auxquelles l'utilisateur anonyme a visité YouPorn et PornHub, et dans certains cas, le terme de recherche entré sur le site porno et la vidéo spécifique qu'il a regardée.
Les données sont vendues par la filiale d'Avast, Jumpshot, et bien que les données ne soient jamais liées au nom, à l'adresse e-mail ou à l'adresse IP d'un individu, chaque historique utilisateur se voit attribuer un identifiant connu sous le nom d'ID d'appareil, qui persistera à moins que l'utilisateur ne désinstalle le produit antivirus Avast. Des données sont collectées sur des clics individuels et la combinaison de ces informations avec d'autres données qu'une entreprise pourrait détenir, telles que les données et l'heure d'un achat, pourrait permettre d'identifier un utilisateur. Les Conditions Générales d'Utilisation permettent également à Jumpshot de conserver les données pendant trois ans.
Bien que les données n'incluent pas d'informations personnelles telles que les noms des utilisateurs, elles contiennent toujours une multitude de données de navigation spécifiques, et les experts affirment qu'il pourrait être possible de désanonymiser certains utilisateurs. « Peut-être que les données (Jumpshot) elles-mêmes n'identifient pas les gens », a déclaré à PCMag Gunes Acar, un chercheur en confidentialité qui étudie le suivi en ligne. « Il s'agit peut-être simplement d'une liste d'ID utilisateur hachés et de certaines URL. Mais elle peut toujours être combinée avec d'autres données d'autres spécialistes du marketing, d'autres annonceurs, qui peuvent essentiellement arriver à la véritable identité ».
Et la collecte continue
Dans un communiqué de presse de juillet, Jumpshot prétend être « la seule entreprise à déverrouiller les données des jardins clos » et cherche à « offrir aux spécialistes du marketing une visibilité plus approfondie de l'ensemble du parcours client en ligne ». Jumpshot a déjà discuté publiquement de certains de ses clients. Mais d'autres sociétés mentionnées dans les documents Jumpshot incluent Expedia, IBM, Intuit, qui développe TurboTax, Loreal et Home Depot. Les employés sont priés de ne pas parler publiquement des relations de Jumpshot avec ces sociétés.
« C'est très granulaire, et ce sont d'excellentes données pour ces entreprises, car elles sont réduites au niveau de l'appareil avec un horodatage », a déclaré la source, se référant à la spécificité et à la sensibilité des données vendues. Motherboard a accordé l'anonymat à la source pour qu'elle puisse parler plus franchement des processus de Jumpshot.
Jusqu'à récemment, Avast collectait les données de navigation de ses clients qui avaient installé le plug-in de navigateur de l'entreprise, conçu pour avertir les utilisateurs de sites Web suspects. Le chercheur en sécurité et créateur d'AdBlock Plus, Wladimir Palant, a publié un article de blog en octobre montrant qu'Avast collectait les données des utilisateurs avec ce plugin. Peu de temps après, les éditeurs de navigateurs Mozilla, Opera et Google ont supprimé les extensions d'Avast et des filiales d'AVG de leurs magasins d'extensions de navigateur respectifs. Avast avait précédemment expliqué cette collecte et ce partage de données dans un blog et un forum en 2015. Avast a depuis cessé d'envoyer des données de navigation collectées par ces extensions à Jumpshot, a assuré l'éditeur dans une déclaration à Motherboard et PCMag.
Cependant, la collecte des données continue, selon la source et les documents. Au lieu de collecter des informations via un logiciel attaché au navigateur, Avast le fait via le logiciel antivirus lui-même. La semaine dernière, des mois après avoir été repéré à l'aide de ses extensions de navigateur pour envoyer des données à Jumpshot, Avast a commencé à demander à ses consommateurs d'antivirus gratuits existants de participer à la collecte de données, selon un document interne.
« S'ils y consentent, alors cet appareil fera partie du panel Jumpshot et toutes les activités Internet basées sur un navigateur seront signalées à Jumpshot », indique un manuel de produit interne. « Quelles URL ces appareils ont-ils consultées, dans quel ordre et quand ? » ajoute-t-il, résumant les questions auxquelles le produit peut être en mesure de répondre.
Bien qu'Avast demande actuellement aux utilisateurs de réactiver la collecte de données via une fenêtre contextuelle dans le logiciel antivirus, plusieurs utilisateurs d'Avast ont déclaré qu'ils ne savaient pas qu'Avast vendait des données de navigation. « Je n'étais pas au courant de cela », a déclaré Keith, un utilisateur du produit antivirus gratuit Avast. « Cela semble effrayant. Je dis généralement non au suivi des données », a-t-il ajouté, assurant qu'il n'avait pas encore vu le nouveau pop-up opt-in d'Avast. « Je ne savais pas qu'ils avaient fait ça », a déclaré un autre utilisateur de l'édition gratuite Avast.
Chaque recherche. Chaque clic. Chaque achat. SUR CHAQUE SITE
Jumpshot vend une variété de produits différents basés sur les données collectées par le logiciel antivirus Avast installé sur les ordinateurs des utilisateurs. Les clients du secteur de la finance institutionnelle achètent souvent un flux des 10 000 principaux domaines que les utilisateurs d'Avast visitent pour essayer de repérer les tendances, indique le manuel du produit.
Un autre produit Jumpshot est le soi-disant « All Click Feed » de la société. Il permet à un client d'acheter des informations sur tous les clics que Jumpshot a vus sur un domaine particulier, comme Amazon.com, Walmart.com, Target.com, BestBuy.com ou Ebay.com.
Dans un tweet envoyé le mois dernier destiné à attirer de nouveaux clients, Jumpshot a noté qu'il recueille « Chaque recherche. Chaque clic. Chaque achat. Sur chaque site », l'emphase a été mise par Jumpshot.
Les données de Jumpshot pourraient montrer comment une personne avec un antivirus Avast installé sur son ordinateur a recherché un produit sur Google, a cliqué sur un lien qui l'a emmené sur Amazon, puis a peut-être ajouté un article à son panier sur un autre site Web, avant d'acheter enfin un produit sur Amazon, explique la source qui a fourni les documents.
Selon une copie de son contrat avec Jumpshot, une société qui a acheté le flux All Clicks est la société de marketing basée à New York Omnicom Media Group. Omnicom a payé à Jumpshot 2 075 000 $ pour l'accès aux données en 2019, indique le contrat. Il comprenait également un autre produit appelé Insight Feed pour 20 domaines différents. Les frais pour les données en 2020 puis en 2021 sont respectivement de 2 225 000 $ et 2 275 000 $, ajoute le document.
Jumpshot a permis à Omnicom d'accéder à tous les flux de clics de 14 pays différents à travers le monde, y compris les États-Unis, l'Angleterre, le Canada, l'Australie et la Nouvelle-Zélande. Le produit inclut également le sexe présumé des utilisateurs « en fonction du comportement de navigation », leur âge présumé et « la chaîne URL entière », mais avec les informations personnelles identifiables (PII) supprimées, ajoute le contrat.
Selon le contrat Omnicom, « l'ID d'appareil » de chaque utilisateur est haché, ce qui signifie que l'entreprise achetant les données ne devrait pas être en mesure d'identifier qui se cache exactement derrière chaque élément de navigation. Au lieu de cela, les produits de Jumpshot sont censés donner un aperçu aux entreprises qui souhaitent voir quels produits sont particulièrement populaires, ou l'efficacité d'une campagne publicitaire.
« Ce que nous ne faisons pas, c'est un rapport sur l'ID d'appareil Jumpshot qui a exécuté les clics pour se protéger contre la triangulation des PII », lit-on dans un document Jumpshot interne. Mais les données de Jumpshot peuvent ne pas être totalement anonymes. Le manuel du produit interne indique que les ID de périphérique ne changent pas pour chaque utilisateur, « sauf si un utilisateur désinstalle et réinstalle complètement le logiciel de sécurité ». De nombreux articles et études universitaires ont montré comment il est possible de retrouver l'identité des données de personnes censées être anonymisées.
La réaction d'Avast
Motherboard et PCMag ont posé à Avast une série de questions détaillées sur la façon dont il protège l'anonymat des utilisateurs ainsi que des détails sur certains des contrats de l'entreprise. Avast n'a pas répondu à la plupart des questions, mais a écrit dans une déclaration : « En raison de notre approche, nous nous assurons que Jumpshot n'acquiert pas d'informations d'identification personnelle, y compris le nom, l'adresse e-mail ou les coordonnées, des personnes utilisant notre logiciel antivirus gratuit populaire ».
« Les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot. En juillet 2019, nous avions déjà commencé à implémenter un choix opt-in explicite pour tous les nouveaux téléchargements de notre AV, et nous invitons maintenant également nos utilisateurs gratuits existants de faire un choix explicite, un processus qui s'achèvera en février 2020 », a assuré l'éditeur, ajoutant que la société se conforme au California Consumer Privacy Act (CCPA) et au Règlement Général sur la Protection des Données pour l'ensemble de sa base d'utilisateurs mondiale.
« Nous avons une longue expérience de la protection des appareils et des données des utilisateurs contre les logiciels malveillants, et nous comprenons et prenons au sérieux la responsabilité d'équilibrer la confidentialité des utilisateurs avec l'utilisation nécessaire des données », ajoute le communiqué.
Lorsque PCMag a installé le produit antivirus d'Avast pour la première fois ce mois-ci, le logiciel a demandé s'il souhaitait participer à la collecte de données : « Si vous le permettez, nous fournirons à notre filiale Jumpshot Inc. un ensemble de données anonymisées dérivant de votre historique de navigation afin de permettre à Jumpshot d'analyser les marchés et les tendances commerciales et de recueillir d'autres informations précieuses », pouvait lire PCMag. Cependant, le pop-up n'est pas entré en détail sur la façon dont Jumpshot utilise ces données de navigation.
« Les données sont totalement anonymisées et agrégées et ne peuvent pas être utilisées pour vous identifier ou vous cibler personnellement. Jumpshot pourrait partager des informations agrégées avec ses clients », a ajouté la fenêtre contextuelle.
Dans un communiqué adressé à la rédaction de developpez.com, Avast a déclaré :
« En décembre 2019, nous avons rapidement pris les mesures nécessaires pour répondre aux normes des boutiques d’extensions des navigateurs et nous sommes maintenant conformes à leurs exigences en ce qui concerne nos extensions de sécurité en ligne. Dans le même temps, nous avons complètement cessé d'utiliser les données des extensions de navigateur à d'autres fins que le moteur de sécurité principal, y compris le partage avec notre filiale Jumpshot.
« Nous veillons à ce que Jumpshot n'acquière pas d’information d'identification personnelle, notamment le nom, l'adresse email ou encore les coordonnées. Les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot. En juillet 2019, nous avions déjà commencé à mettre en place un choix explicite d'acceptation ou de refus pour tous les nouveaux téléchargements de notre logiciel, et nous invitons maintenant nos utilisateurs gratuits actuels à faire un choix d'acceptation ou de refus, un processus qui sera achevé en février 2020.
« Notre politique de confidentialité détaille les protections que nous mettons en place pour tous nos utilisateurs. Ces derniers peuvent également choisir d'ajuster leur niveau de confidentialité en utilisant le large éventail de paramètres disponibles dans nos produits, y compris le contrôle de tout partage de données à tout moment. Nous nous conformons volontairement aux exigences du RGPD et de la Loi sur la protection du consommateur de Californie (CCPA) en matière de protection de la vie privée pour l'ensemble de notre base d'utilisateurs mondiale.
« Nous avons une longue expérience de la protection des appareils et des données des utilisateurs contre les logiciels malveillants. Nous comprenons et prenons au sérieux la responsabilité d'équilibrer la vie privée des utilisateurs avec l'utilisation nécessaire des données pour nos principaux produits de sécurité ».
Source : rapport, Jumpshot
Et vous ?
Avez-vous un antivirus ? Lequel ? Sur quelle plateforme ? Utilisez-vous la version gratuite ou payante ? Que pensez-vous de cette stratégie autour de l'exploitation des données de navigation ? 
