Suite au scandale, Avast stoppe son programme de collecte massive des données

Revendues à des entreprises tierces, ces précieuses données permettaient, encore et toujours, d'épier nos habitudes.

Jeudi 30 janvier, l'éditeur Avast a annoncé qu'il mettait fin à la collecte massive des données de ses utilisateurs et que sa filiale en charge de ces basses œuvres, Jumpshot, fermerait bientôt ses portes.

Cette décision fait suite à une enquête réalisée conjointement par Motherboard et PCMag, où l'on apprenait que l’entreprise récoltait les données de ses utilisateurs en quantité insoupçonnée.

Publicité

Des données extrêmement précises

De quoi s'agissait-il ? Des données de navigation très précises des utilisateurs. Citons les recherches Google, les données de géolocalisation ou carrément le contenu des paniers sur certains sites d’achat. Avast pouvait même disposer de l’accès à chaque clic, à chaque milliseconde, de chaque utilisateur, via un programme appelé All Click Feed.

Les données issues de ce programme étaient récupérées par Jumpshot, une filiale d’Avast qui a pour activité principale de les revendre pour "plusieurs millions de dollars" à ses clients.

Parmi les clients, on retrouvait Google, Microsoft, le site d’avis Yelp, Pepsi ou encore Sephora. Les entreprises, à travers Jumpshot, avaient donc accès à toutes les habitudes de leurs consommateurs. Utile, pour optimiser les publicités ciblées ou anticiper les grandes tendances.

Publicité

Motherboard et PCMag affirment avoir trouvé, dans les données détenues par Jumpshot, des recherches de localisation, des recherches YouTube, des recherches LinkedIn ou, évidemment, du porno.

Deux reproches principaux

Si les utilisateurs étaient effectivement invités, depuis juillet 2019, à accepter ou refuser cette collecte, tous n'étaient pas vraiment conscients de ce que cela pouvait avoir comme conséquences. C’était la première chose.

Ensuite, si Avast affirmait que les données étaient anonymisées, de nombreuses études avaient montré que l’on pouvait quand même, par "triangulation", mettre un nom sur un ID soi-disant anonyme – surtout dans le cas d’Avast, avec la précision extrême de cette collecte.

Publicité

"Il est possible de déterminer, grâce aux données collectées, à quelle heure et quel jour 'l’utilisateur anonyme' a visité YouPorn et Pornhub, et, dans certains cas, quelles recherches ils ont effectuées ou, encore, quelle vidéo ils ont regardée." Facile de faire des recoupements, si un autre client de Jumpshot, par exemple, possède des informations d’une autre source.

Pour ne rien arranger, l’antivirus se targuait d’avoir pas moins de 435 millions d’utilisateurs actifs par mois. Jumpshot, lui, clamait un accès aux données de plus de 100 millions d’appareils.

Preuve que cette collecte massive, en soi, n’est pas tabou ? La filiale Jumpshot n’avait apparemment aucun problème à mettre en avant son activité sur les réseaux sociaux, précisant bien qu’ils avaient accès à "toutes les recherches, tous les clics, tous les achats, SUR TOUS LES SITES."

Publicité

La réponse d’Avast

Avast n’était pas resté sans réaction face à la polémique. L’entreprise s’était vue accorder un droit de réponse dans de nombreux médias français (entre autres) dans lesquels elle tentait de se justifier.

Elle y disait notamment "se conformer volontairement aux exigences du RGPD" et affirmait également que "les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot."

Avast précisait : "en juillet 2019, nous avions déjà commencé à mettre en place un choix explicite d’acceptation ou de refus pour tous les nouveaux téléchargements de notre logiciel, et nous invitons maintenant nos utilisateurs gratuits actuels à faire un choix d’acceptation ou de refus, un processus qui sera achevé en février 2020."

Effectivement, le siphonnage de données se faisait, avant, via le plug-in pour navigateur web de l’antivirus, Avast Secure Browser. Depuis juillet 2019, c’était depuis la version gratuite de l’antivirus que se faisait la pêche à la data.

Les grandes entreprises de la tech nous avaient déjà acclimatés au siphonnage des données. Avec Avast, on était passés au next level. Avec un programme comme All Clicks Feed, l’antivirus avait accès à tous les clics et toutes les recherches effectuées par ses utilisateurs, ce qui, sauf preuve du contraire, était une première.

Pour en savoir plus, nous vous invitons à lire la longue enquête de Motherboard et PCMag sur leur site.

Article mis à jour le 31/01/2019

Par Victoria Beurnez, publié le 31/01/2020