Avast collecte et revend vos données de navigation. C'est ce que révèle une enquête conjointe de MotherBoard (Vice) et PCMag. Selon les deux publications, plusieurs entreprises ont payé des millions de dollars pour acquérir ces informations. Parmi elles, on retrouve Microsoft, Google, Yelp ou encore Pepsi.

Le fondateur d'Ad Block avait déjà alerté les autorités et les internautes de ses craintes sur Avast en décembre 2019. En effet, le développeur affirmait que des extensions d'Avast et d'AVG espionnaient les utilisateurs à leur insu sur Chrome et Firefox. Et ce 28 janvier 2020, une enquête menée par MotherBoard (Vice) et PCMag vient conforter ses accusations.

Comme le dévoilent les deux publications, la société Avast collecte et revend les données de navigation de ses utilisateurs pour des millions de dollars. Parmi ses clients réguliers, on retrouve Microsoft, Google, Yelp, Pepsi, ou encore Condé Nast, un groupe américain d'édition de magazines détenant entre autres Vogue ou Vanity Fair.

Avec au total 450 millions d'utilisateurs à travers le monde, le logiciel antivirus s'assure un stock de données conséquent. Et le jackpot qui va avec. D'après MotherBoard et PCMag, les informations récoltées sont certes anonymisées (pas de nom, d'adresse mail et IP), mais elles sont liées à un identifiant connu d'Avast, qui ne disparaît que quand l'utilisateur cesse d'utiliser l'antivirus.

À lire également : Android – les meilleurs antivirus gratuits

Une collecte vraiment anonyme ?

C'est une filiale d'Avast appelée Jumpshot qui se charge de collecter les données de navigation pour le compte d'Avast. C'était elle qui justement siphonnait les données des utilisateurs via les extensions d'Avast. Désormais, Jumpshot officie sur la version gratuite de l'antivirus, comme le montre un onglet où il est précisé que “toutes les données basées sur la navigation Web seront fournies à Jumpshot” et que “Jumpshot peut partager ces données agrégées avec ses clients”.

Selon les conditions générales mentionnées sur cet onglet (en cours de déploiement), Jumpshot peut converser les données acquises pendant trois ans. D'après Avast, cette collecte répond parfaitement au cadre et aux règles stricts du RGPD, et insiste sur le fait que ces informations ne permettent pas l'identification de l'utilisateur. Faux selon MotherBoard et PCMag, qui précisent que ces données sont collectées sur les clics individuels. Certaines entreprises pourraient faire le rapprochement entre ces informations et celles en leur possession pour mettre un nom, une adresse mail, une adresse IP sur l'utilisateur.

Mise à jour du 28/01/2020 à 18h20 :

Avast a fait valoir son droit de réponse et a publié un communiqué dont voici l'intégralité :

“En décembre 2019, nous avons rapidement pris les mesures nécessaires pour répondre aux normes des boutiques d’extensions des navigateurs et nous sommes maintenant conformes à leurs exigences en ce qui concerne nos extensions de sécurité en ligne. Dans le même temps, nous avons complètement cessé d’utiliser les données des extensions de navigateur à d’autres fins que le moteur de sécurité principal, y compris le partage avec notre filiale Jumpshot.

Nous veillons à ce que Jumpshot n’acquière pas d’information d’identification personnelles, notamment le nom, l’adresse email ou encore les coordonnées. Les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot. En juillet 2019, nous avions déjà commencé à mettre en place un choix explicite d’acceptation ou de refus pour tous les nouveaux téléchargements de notre logiciel, et nous invitons maintenant nos utilisateurs gratuits actuels à faire un choix d’acceptation ou de refus, un processus qui sera achevé en février 2020.

Notre politique de confidentialité détaille les protections que nous mettons en place pour tous nos utilisateurs. Ces derniers peuvent également choisir d’ajuster leur niveau de confidentialité en utilisant le large éventail de paramètres disponibles dans nos produits, y compris le contrôle de tout partage de données à tout moment. Nous nous conformons volontairement aux exigences du RGPD et de la Loi sur la protection du consommateur de Californie (CCPA) en matière de protection de la vie privée pour l’ensemble de notre base d’utilisateurs mondiale.

Nous avons une longue expérience de la protection des appareils et des données des utilisateurs contre les logiciels malveillants. Nous comprenons et prenons au sérieux la responsabilité d’équilibrer la vie privée des utilisateurs avec l’utilisation nécessaire des données pour nos principaux produits de sécurité”.

Source :  Vice