Avast - AVG : des extensions antivirus trop curieuses ?

Mozilla et Opera ont retiré de leurs navigateurs respectifs les extensions Avast et AVG, suspectées de collecter trop de données.

Que s’est-il passé sur le magasin d’extensions pour Firefox ?

Depuis peu, la recherche sur le mot-clé « Avast » ne livre plus les résultats attendus. Aucune trace, en l’occurrence, des produits de l’éditeur antivirus tchèque (JavaScript, LastPass et McDonald’s sont parmi les premières options à remonter).

Le constat est similaire dans le catalogue d’extensions d’Opera (première image ci-dessous). Pas sur celui de Chrome, en revanche.

L’élément déclencheur fut une alerte du dénommé Wladimir Palant, à l’origine du bloqueur de publicités Adblock Plus.

L’intéressé s’est adressé directement aux éditeurs des principaux navigateurs du marché, après un premier avertissement sur son blog fin octobre.

Dans son collimateur, deux extensions : Avast SafePrice et Avast Online Security, également proposées sous la marque AVG.

L’une et l’autre, d’après Wladimir Palant, collectent bien plus de données que nécessaire. Assez en tout cas pour permettre de reconstituer les historiques de navigation des utilisateurs.

Lire aussi : 7 extensions Firefox populaires

Avast – Google : deux approches

Dans l’absolu, la politique de confidentialité d’Avast – aussi bien dans sa version actuelle que dans celle en vigueur fin octobre – ouvre grand la porte aux collectes de données.
L’éditeur invoque, entre autres, un « intérêt légitime ». Que ce soit pour la vente de produits complémentaires, le développement de ses services, la sécurisation de son offre ou encore la diffusion de publicité ciblée.

Les informations susceptibles de faire l’objet d’une collecte couvrent un large spectre. Elles vont de la localisation de l’utilisateur (code postal, fuseau horaire…) au nom des pages visitées en passant par les actions réaliser pour atteindre lesdites pages.

Les extensions incriminées communiquent avec les serveurs d’Avast, qui leur signalent si des contenus sont dangereux. Elles envoient une requête à chaque changement d’onglet et font une demande supplémentaire sur les pages de recherche.

Wladimir Palant affirme sa préférence pour l’approche que Google a mise en place avec sa technologie Safe Browsing. Elle se fonde sur une liste de sites téléchargée en local et régulièrement mise à jour.

Et de pointer un autre élément : Jumpshot.
Avast avait acquis cette société en 2013. Il lui communique aujourd’hui des données pour alimenter ses outils d’analyse de tendances.

La collaboration est clairement signalée dans la politique de confidentialité. Mais la formulation de Jumpshot peut effectivement alerter. L’entreprise dit détenir des informations sur « 100 millions d’acheteurs en ligne ». Et ajoute : « Analysez […] ce que les utilisateurs ont recherché, comment ils ont interagi avec une marque ou un produit, ce qu’ils ont acheté […] ».

Avast affirme que ses extensions devraient réapparaître « dans les prochains jours », en tout cas sur Firefox. L’éditeur évoque une mise à jour récente de la politique à destination des développeurs. Et jure travailler avec Mozilla pour rectifier le tir.

Lire aussi : Pistage : les navigateurs ne s’attaquent pas qu’aux cookies