Vie privée : l'étau se resserre sur Avast

La capacité d’Avast à rendre réellement anonymes les données qu’il collecte auprès de ses utilisateurs est mise en doute.

[Mise à jour du 28 janvier 2020 à 12 h 18 : Avast a exercé son droit de réponse. Nous l’avons inséré sous cet article.]

Avast est-il si réglo qu’il le prétend sur le respect de la vie privée ?

En décembre dernier, l’éditeur tchèque a fait l’objet d’accusations à ce propos. Il s’en est défendu.

Au cœur du débat, ses extensions SafePrice et Online Security, également proposées sous la marque AVG.

Mozilla et opera les avaient retirées de leurs navigateurs respectifs, les suspectant de collecter trop de données.

Avast n’était pas tant incriminé pour ces collectes – auxquelles sa politique de confidentialité ouvre grand la porte – que pour le partenariat en place avec sa filiale Jumpshot.

Cette entreprise propose des outils d’analyse de tendances. Elle les dit fondés sur des informations relatives à « 100 millions d’acheteurs en ligne ».

Dans le cadre du partenariat en question, Avast reçoit de nombreuses informations relatives aux sites que visitent les utilisateurs.

Au clic près

D’après Avast, tout est mis en œuvre pour rendre impossible l’identification desdits utilisateurs.

Ce n’est pas ce que suggèrent les observations de Vice et de PCMag.

Le problème réside dans la précision des données : chaque clic est enregistré, avec un horodatage à la milliseconde.

Les clients de Jumpshot sont d’autant plus susceptibles d’identifier des individus en croisant ces données avec les leurs. Et de les pister par la suite en s’appuyant sur l’identifiant utilisateur unique qu’Avast leur communique en complément.

Jumpshot structure les informations que lui fournit sa maison mère en différents packs. L’un d’entre eux est axé sur les recherches (mots-clés saisis, liens ouverts…). Un autre, sur les vidéos visionnées.

THANKS to all our Year-in-Review webinar attendees and our live-tweet friends!
Feel free to reach out if you have any questions or comments. And, KUDOS to Jumpshot’s @stephenkraussf and @stevelevay for another fantastic webinar. pic.twitter.com/GkpWOwR3LS

— Jumpshot (@jumpshotinc) December 12, 2019

Avast fait une exception avec le pack « All Clicks », particulièrement sensible pusqu’il comprend toutes les actions réalisées sur un domaine donné. L’éditeur promet en l’occurrence de ne pas transmettre d’identifiant utilisateur unique.

Une promesse visiblement non tenue dans le cadre d’un contrat de 3 ans signé en janvier 2019 avec Omnicom.
Le groupe publicitaire a déboursé plus de 6 millions de dollars pour obtenir une masse d’informations allant jusqu’aux sexe et âge supposés des utilisateurs (déterminés en fonction de l’activité).

Vers un régime opt-in

Parmi les autres clients présents ou passés figureraient des multinationales comme Google, Microsoft, L’Oréal, PepsiCo et McKinsey.

Home Depot est aussi sur la liste. Le groupe de distribution américain assure recevoir des « données d’audience anonymes » qui « ne peuvent être utilisées pour identifier des clients ».

Avast affirme avoir mis un terme aux collectes de données via ses extensions pour navigateurs.

Il lui reste cependant d’autres canaux. À commencer par ses antivirus, par le biais du composant Web Shield, officiellement destiné à collecter des URL pour les analyser au vol.

Concernant ces produits, l’éditeur rappelle que les utilisateurs ont toujours eu la possibilité de désactiver le partage de leurs données (méthode opt-out).

Depuis juillet 2019, les collectes sont désactivées par défaut sur les nouvelles installations de l’antivirus. C’est à l’utilisateur de choisir ou non d’y consentir (opt-in).

Une fenêtre d’opt-in commence à apparaître sur les installations antérieures à juillet 2019. Finalisation du processus prévue en février 2020.

[Ci-dessous, les commentaires d’Avast]

« En décembre 2019, nous avons rapidement pris les mesures nécessaires pour répondre aux normes des boutiques d’extensions des navigateurs et nous sommes maintenant conformes à leurs exigences en ce qui concerne nos extensions de sécurité en ligne. Dans le même temps, nous avons complètement cessé d’utiliser les données des extensions de navigateur à d’autres fins que le moteur de sécurité principal, y compris le partage avec notre filiale Jumpshot.

Nous veillons à ce que Jumpshot n’acquière pas d’information d’identification personnelles, notamment le nom, l’adresse email ou encore les coordonnées. Les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot. En juillet 2019, nous avions déjà commencé à mettre en place un choix explicite d’acceptation ou de refus pour tous les nouveaux téléchargements de notre logiciel, et nous invitons maintenant nos utilisateurs gratuits actuels à faire un choix d’acceptation ou de refus, un processus qui sera achevé en février 2020.

Notre politique de confidentialité détaille les protections que nous mettons en place pour tous nos utilisateurs. Ces derniers peuvent également choisir d'ajuster leur niveau de confidentialité en utilisant le large éventail de paramètres disponibles dans nos produits, y compris le contrôle de tout partage de données à tout moment. Nous nous conformons volontairement aux exigences du RGPD et de la Loi sur la protection du consommateur de Californie (CCPA) en matière de protection de la vie privée pour l'ensemble de notre base d'utilisateurs mondiale.

Nous avons une longue expérience de la protection des appareils et des données des utilisateurs contre les logiciels malveillants. Nous comprenons et prenons au sérieux la responsabilité d'équilibrer la vie privée des utilisateurs avec l'utilisation nécessaire des données pour nos principaux produits de sécurité ».

Lire aussi : Vie privée : Avast lâche sa filiale Jumpshot sous les accusations