Discussion :

[Christian Olivier]

La société de cybersécurité Avast collecte et vend les données de navigation de ses clients
Début d’explication avec le DG du groupe

La société tchèque de cybersécurité Avast ne gagne pas seulement de l’argent en protégeant ses 400 millions d’utilisateurs disséminés à travers le monde, mais elle profiterait également de sa position privilégiée au sein du marché pour collecter et monétiser les données de navigation de ses clients, depuis au moins 2013. Cette situation a conduit à l’étiquetage de certains des outils développés par l’éditeur tchèque en tant que « spyware ». Mozilla et Opera, par exemple, étaient suffisamment au fait et inquiets de cette pratique pour supprimer certains outils Avast de leurs magasins d’extensions au début du mois.

Dans une tentative visant à rassurer le marché, Ondrej Vlcek, le nouveau DG d’Avast, a récemment confié au média Forbes qu’il n’y avait malgré tout pas de scandale lié à la protection de la vie privée dans cette affaire, affirmant que la totalité des informations sur les utilisateurs collectées et vendues par sa boite ne permettaient en aucun de remonter jusqu’aux utilisateurs originels. Dans un souci de transparence apparent, il a également révélé que ces pratiques assurent à son groupe des gains non négligeables représentant environ 5 % du revenu total (soit plus de 20 millions de dollars en 2019).

Voici comment ça marche, selon Vlcek : l’activité Web des utilisateurs d’Avast est recueillie par les extensions de navigateur de l’entreprise. Mais avant d’arriver sur les serveurs d’Avast, ces données sont anonymisées, c’est-à-dire dépouillées de tout ce qui pourrait révéler l’identité d’une personne. Toutes ces données sont ensuite analysées par Jumpshot, une société rachetée par Avast en 2013, avant d’être vendues comme « insights » aux clients potentiels.

Vlcek indique que Jumpshot fournit « un aperçu de la façon dont les cohortes d’internautes utilisent le Web », en affichant par exemple, le pourcentage des visiteurs qui sont passés d’un site Web à un autre, et pourrait de ce fait être utile à quiconque surveille une campagne publicitaire. Il peut aider les entreprises à déterminer l’intérêt que leur produit suscite en ligne et suivre ce que les utilisateurs recherchent ou comment ils interagissent avec une marque ou un produit particulier. À ce propos, le patron d’Avast a expliqué : « Les clients typiques seraient, par exemple, des investisseurs qui seraient intéressés par l’état d’avancement des nouvelles campagnes des entreprises en ligne ». Quelle est la place de la protection de la vie privée dans tout ça ?

Vlcek compare ce type d’échange de données à celui que l’on observe dans le domaine des soins de santé. Sur ce marché, les données anonymes sont utilisées pour créer des études de cas, où l’examen des tendances des données permet de déterminer qui est le plus susceptible de contracter une maladie. C’est ce procédé qui aurait permis à l’éditeur de l’antivirus Avast de publier plus tôt cette année un rapport sur les tendances PC en 2019 révélant plus de la moitié des logiciels installés sur PC sont obsolètes.

Malgré tout, Ondrej Vlcek reconnaît que les clients de son entreprise utilisent avant tout Avast pour protéger leurs informations et qu’il ne peut donc rien entreprendre qui pourrait « compromettre la sécurité de la confidentialité des données, ce qui inclut le ciblage par les annonceurs ». À ce propos, le patron d’Avast a déclaré à Forbes : « Nous n’autorisons donc absolument aucun annonceur ni aucune tierce partie... à obtenir un accès quelconque par l’intermédiaire d’Avast ou une donnée quelconque qui permettrait au tiers de cibler un individu en particulier ».

Mise à jour du 13/12/2019

Souhaitant réagir à cette actualité, Avast s’est rapproché de developpez.com pour apporter des éléments nouveaux au fil de discussion. L’entreprise tchèque de cybersécurité a déclaré dans son mail :

« La sécurité et la confidentialité de nos utilisateurs sont la priorité absolue d’Avast et pour cette raison, nous avons mis en place des procédures complètes en matière de protection des données. Il y a eu des rapports récents nous incriminant dans la vente récente de données personnelles identifiables à des tiers qui sont faux.

Pour que nos extensions de navigateur puissent faire leur travail de détection et de blocage des menaces, nous devons être en mesure de collecter des données URL. C’est ainsi que fonctionnent nos solutions antivirus et d’autres solutions antivirus. Pour cela, nous n’avons pas besoin de données personnelles identifiables. Par conséquent, et pour protéger la vie privée de nos utilisateurs, les données que nous recueillons sont dépouillées de toute information personnelle identifiable (IPI), ce qui signifie qu’elles sont stockées dans un format complètement dépersonnalisé.

Nous partageons également ces données statistiques agrégées avec notre propre société d’analyse marketing, Jumpshot, et nous avons fait preuve de transparence avec nos clients et le marché depuis son lancement : https://blog.avast.com/2015/05/29/av...lytics-engine/. Nous sommes à l’écoute des préoccupations, nous croyons en l’adoption de nouvelles pratiques selon les besoins et nous sommes en train de mettre en œuvre des changements à nos extensions conformément à la nouvelle politique de confidentialité de Mozilla.

Nous nous efforçons de ne recueillir que les données nécessaires à la prestation de nos services. Avast suit les meilleures procédures de l’industrie conformément au RGPD qui sont décrites dans sa politique de confidentialité. Nous avons également un portail de confidentialité où les clients de nos produits peuvent se connecter et vérifier les données personnelles que nous détenons à leur sujet. »


Et vous ?

Êtes-vous l'un des 400 millions d'utilisateurs de solutions fournies par Avast ?
Que pensez-vous de cette confession du DG d’Avast : réelle volonté de transparence ou stratégie markéting ?
Connaissez-vous d’autres alternatives à Jumpshot ? Si oui, lesquelles ?

Voir aussi

Avast et la gendarmerie française mettent fin à l'activité du botnet Retadup et désinfectent 850 000 ordinateurs qui ont été utilisés pour miner de la cryptomonnaie
Avast lance un nouveau navigateur dénommé Avast Secure Browser, une version renommée de SafeZone alliant vie privée, rapidité et sécurité
Rapport Avast : plus de la moitié des logiciels installés sur PC sont obsolètes, pourquoi les utilisateurs se mettent-ils ainsi en danger ?

[grunk]

J'ai du mal à comprendre qu'aujourd'hui ca surprenne qui que ce soit. Quand un produit est gratuit c'est juste que l'argent est généré autrement que par le coût d'une licence logiciel.
Les services et logiciel gratuit c'est pas juste parce que on est super sympa

[Doksuri]

totalement d'accord, aujourd'hui la question n'est plus de savoir si nos donnees privees sont utilisees... mais quand est-ce qu'elles fuiteront

[kirby_blue]

Êtes-vous l'un des 400 millions d'utilisateurs de solutions fournies par Avast ?

Oui

Que pensez-vous de cette confession du DG d’Avast : réelle volonté de transparence ou stratégie markéting ?

Quand c'est gratuit, c'est toi le produit

Connaissez-vous d’autres alternatives à Jumpshot ? Si oui, lesquelles ?

On m'a dit récemment que l'antivirus 'Avast n'avait plus beaucoup d'intérêt, Windows Defender étant bien suffisant. Dans la société où je travaille, ils ont d'ailleurs décidé de ne pas renouveler les licences Avast.

[SoyouzH2]

Donc je veux qu'ils arrêtent l'utilisation du mot "Gratuit" Les mots ont un f***ing sens !
Si ils se font de l'argent en revendant MA possession, je veux que ce soit mentionné "Logiciel utilisant vos information personnelles comme source de profit" ou encore "Logiciel payant en monnaie de singe" ET NON PAS "GRATUIT"
Et pour les commentaires précédents, bien sure que si, il y a des modèle de business "Gratuit" pour l'utilisateur. Faut arrêter avec ce mantra visant a nous faire accepter tout est n'importe quoi "Si c'est gratuit c'est toi le produit" ah donc c'est ok ? ont accepte d'être des produits, d’être markété parce qu’ont a répéter la formule magique çà passe mieux ?

[bloginfo]

Je me demande si tout ce pillage de données personnelles est compatible avec le RGPD.

[alexetgus]

C'est gratuit ? Alors c'est que tu es le produit !

Par contre, pour ceux qui payent, c'est absolument scandaleux !

[Dodfr2]

Je me demande si tout ce pillage de données personnelles est compatible avec le RGPD.

La donnée qui est vendue est anonymisée, cette donnée sort donc du périmètre du RGPD et Avast peut en faire ce qu'il veut.

Cependant la récolte de la donnée (transfert depuis l'ordinateur de l'utilisateur vers le système d'information d'Avast) et le processus d'anonymisation constituent un traitement de données à caractère personnel et sont donc dans le périmètre du RGPD.

Il faut donc que les CGU de Avast (que l'utilisateur lit de A à Z avec beaucoup d'attention comme il se doit.... ou pas....) soit précisé cette opération de traitement en précisant sa finalité, la durée de rétention de la donnée (non anonymisée), le destinataire du traitement etc... il faut aussi que l'utilisateur puisse s'y opposer sauf si la récolte de cette donnée est liée à la gratuité du produit auquel cas Avast peut invoquer l'intérêt légitime.

Il faudrait installer ça dans une VM et lire ces fameuses CGU et les éventuels popup d'information qui apparaissent lors de l'installation du produit qui pourraient informer l'utilisateur sur ce traitement.

Dans tous les cas l'utilisateur doit être clairement informé.

[niuxe]

La base virale VPS a été mise a jour ....

[Stéphane le calme]

Des documents divulgués en disent plus sur la façon dont la filiale de l'éditeur d'antivirus Avast
mène son activité de vente des données de navigation Web des utilisateurs de la version gratuite

Le mois dernier, nous évoquions le fait qu'Avast profiterait de sa position privilégiée au sein du marché pour collecter et monétiser les données de navigation de ses clients, depuis au moins 2013. Cette situation a conduit à l’étiquetage de certains des outils développés par l’éditeur tchèque en tant que « spyware ». Mozilla et Opera, par exemple étaient suffisamment au fait et inquiets de cette pratique pour supprimer certains outils Avast de leurs magasins d’extensions début décembre.

Récemment, dans une tentative visant à rassurer le marché, Ondrej Vlcek, le nouveau DG d’Avast, a confié au média Forbes qu’il n’y avait malgré tout pas de scandale lié à la protection de la vie privée dans cette affaire, affirmant que la totalité des informations sur les utilisateurs collectées et vendues par sa boite ne permettaient en aucun de remonter jusqu’aux utilisateurs originels. Dans un souci de transparence apparent, il a également révélé que ces pratiques assurent à son groupe des gains non négligeables représentant environ 5 % du revenu total (soit plus de 20 millions de dollars en 2019).

Voici comment ça marche, selon Vlcek : l’activité Web des utilisateurs d’Avast est recueillie par les extensions de navigateur de l’entreprise. Mais avant d’arriver sur les serveurs d’Avast, ces données sont anonymisées, c’est-à-dire dépouillées de tout ce qui pourrait révéler l’identité d’une personne. Toutes ces données sont ensuite analysées par Jumpshot, une société rachetée par Avast en 2013, avant d’être vendues comme « ;insights ;» aux clients potentiels.

Vlcek indique que Jumpshot fournit « ;un aperçu de la façon dont les cohortes d’internautes utilisent le Web ;», en affichant par exemple, le pourcentage des visiteurs qui sont passés d’un site Web à un autre, et pourrait de ce fait être utile à quiconque surveille une campagne publicitaire. Il peut aider les entreprises à déterminer l’intérêt que leur produit suscite en ligne et suivre ce que les utilisateurs recherchent ou comment ils interagissent avec une marque ou un produit particulier. À ce propos, le patron d’Avast a expliqué : « Les clients typiques seraient, par exemple, des investisseurs qui seraient intéressés par l’état d’avancement des nouvelles campagnes des entreprises en ligne ». Quelle est la place de la protection de la vie privée dans tout ça ?

Vlcek compare ce type d’échange de données à celui que l’on observe dans le domaine des soins de santé. Sur ce marché, les données anonymes sont utilisées pour créer des études de cas, où l’examen des tendances des données permet de déterminer qui est le plus susceptible de contracter une maladie. C’est ce procédé qui aurait permis à l’éditeur de l’antivirus Avast de publier plus tôt cette année un rapport sur les tendances PC en 2019 révélant plus de la moitié des logiciels installés sur PC sont obsolètes.

Des rapports qui ont fuité

Une enquête menée par Motherboard et PCMag donne un peu plus d'informations à ce sujet. Dans le rapport où ils affirment qu'Avast vend des données de navigation Web très sensibles à de nombreuses plus grandes entreprises du monde, ils indiquent s'appuyer sur des données utilisateur, des contrats et d'autres documents d'entreprise qui ont été divulgués et qui montrent que la vente de ces données est à la fois très sensible et est dans de nombreux cas censée rester confidentielle entre l'entreprise qui vend les données et les clients qui les achètent.

Les documents, issus de la filiale d'Avast appelée Jumpshot, permettent d'en savoir plus sur la vente secrète et la chaîne d'approvisionnement des historiques de navigation Internet des utilisateurs. Selon les résultats de l'enquête, ils montrent que le programme antivirus Avast installé sur l'ordinateur d'une personne recueille des données, et que Jumpshot les reconditionne en différents produits qui sont ensuite vendus à la plupart des plus grandes entreprises du monde. Certains clients passés, présents et potentiels incluent Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit et bien d'autres. Certains clients ont payé des millions de dollars pour des produits qui incluent ce que l'on appelle un flux de clics, qui peut suivre le comportement des utilisateurs, les clics et les déplacements sur les sites Web de manière très précise.

Avast prétend avoir plus de 435 millions d'utilisateurs actifs par mois, et Jumpshot affirme qu'il dispose de données provenant de 100 millions d'appareils. En principe, Avast recueille des données auprès des utilisateurs qui donnent leur consentement et les fournit ensuite à Jumpshot, mais plusieurs utilisateurs d'Avast ont déclaré à Motherboard qu'ils n'étaient pas au courant qu'Avast avait vendu des données de navigation, ce qui soulève des questions sur la façon dont ce consentement est éclairé.

Les données obtenues par Motherboard et PCMag incluent les recherches Google, les recherches de lieux et de coordonnées GPS sur Google Maps, les personnes visitant les pages LinkedIn des entreprises, notamment les vidéos YouTube et les personnes visitant les sites Web pornographiques. Il est possible de déterminer à partir des données collectées la date et l'heure auxquelles l'utilisateur anonyme a visité YouPorn et PornHub, et dans certains cas, le terme de recherche entré sur le site porno et la vidéo spécifique qu'il a regardée.

Les données sont vendues par la filiale d'Avast, Jumpshot, et bien que les données ne soient jamais liées au nom, à l'adresse e-mail ou à l'adresse IP d'un individu, chaque historique utilisateur se voit attribuer un identifiant connu sous le nom d'ID d'appareil, qui persistera à moins que l'utilisateur ne désinstalle le produit antivirus Avast. Des données sont collectées sur des clics individuels et la combinaison de ces informations avec d'autres données qu'une entreprise pourrait détenir, telles que les données et l'heure d'un achat, pourrait permettre d'identifier un utilisateur. Les Conditions Générales d'Utilisation permettent également à Jumpshot de conserver les données pendant trois ans.

Bien que les données n'incluent pas d'informations personnelles telles que les noms des utilisateurs, elles contiennent toujours une multitude de données de navigation spécifiques, et les experts affirment qu'il pourrait être possible de désanonymiser certains utilisateurs. « Peut-être que les données (Jumpshot) elles-mêmes n'identifient pas les gens », a déclaré à PCMag Gunes Acar, un chercheur en confidentialité qui étudie le suivi en ligne. « Il s'agit peut-être simplement d'une liste d'ID utilisateur hachés et de certaines URL. Mais elle peut toujours être combinée avec d'autres données d'autres spécialistes du marketing, d'autres annonceurs, qui peuvent essentiellement arriver à la véritable identité ».

Et la collecte continue

Dans un communiqué de presse de juillet, Jumpshot prétend être « la seule entreprise à déverrouiller les données des jardins clos » et cherche à « offrir aux spécialistes du marketing une visibilité plus approfondie de l'ensemble du parcours client en ligne ». Jumpshot a déjà discuté publiquement de certains de ses clients. Mais d'autres sociétés mentionnées dans les documents Jumpshot incluent Expedia, IBM, Intuit, qui développe TurboTax, Loreal et Home Depot. Les employés sont priés de ne pas parler publiquement des relations de Jumpshot avec ces sociétés.

« C'est très granulaire, et ce sont d'excellentes données pour ces entreprises, car elles sont réduites au niveau de l'appareil avec un horodatage », a déclaré la source, se référant à la spécificité et à la sensibilité des données vendues. Motherboard a accordé l'anonymat à la source pour qu'elle puisse parler plus franchement des processus de Jumpshot.

Jusqu'à récemment, Avast collectait les données de navigation de ses clients qui avaient installé le plug-in de navigateur de l'entreprise, conçu pour avertir les utilisateurs de sites Web suspects. Le chercheur en sécurité et créateur d'AdBlock Plus, Wladimir Palant, a publié un article de blog en octobre montrant qu'Avast collectait les données des utilisateurs avec ce plugin. Peu de temps après, les éditeurs de navigateurs Mozilla, Opera et Google ont supprimé les extensions d'Avast et des filiales d'AVG de leurs magasins d'extensions de navigateur respectifs. Avast avait précédemment expliqué cette collecte et ce partage de données dans un blog et un forum en 2015. Avast a depuis cessé d'envoyer des données de navigation collectées par ces extensions à Jumpshot, a assuré l'éditeur dans une déclaration à Motherboard et PCMag.

Cependant, la collecte des données continue, selon la source et les documents. Au lieu de collecter des informations via un logiciel attaché au navigateur, Avast le fait via le logiciel antivirus lui-même. La semaine dernière, des mois après avoir été repéré à l'aide de ses extensions de navigateur pour envoyer des données à Jumpshot, Avast a commencé à demander à ses consommateurs d'antivirus gratuits existants de participer à la collecte de données, selon un document interne.

« S'ils y consentent, alors cet appareil fera partie du panel Jumpshot et toutes les activités Internet basées sur un navigateur seront signalées à Jumpshot », indique un manuel de produit interne. « Quelles URL ces appareils ont-ils consultées, dans quel ordre et quand ? » ajoute-t-il, résumant les questions auxquelles le produit peut être en mesure de répondre.

Bien qu'Avast demande actuellement aux utilisateurs de réactiver la collecte de données via une fenêtre contextuelle dans le logiciel antivirus, plusieurs utilisateurs d'Avast ont déclaré qu'ils ne savaient pas qu'Avast vendait des données de navigation. « Je n'étais pas au courant de cela », a déclaré Keith, un utilisateur du produit antivirus gratuit Avast. « Cela semble effrayant. Je dis généralement non au suivi des données », a-t-il ajouté, assurant qu'il n'avait pas encore vu le nouveau pop-up opt-in d'Avast. « Je ne savais pas qu'ils avaient fait ça », a déclaré un autre utilisateur de l'édition gratuite Avast.

Chaque recherche. Chaque clic. Chaque achat. SUR CHAQUE SITE

Jumpshot vend une variété de produits différents basés sur les données collectées par le logiciel antivirus Avast installé sur les ordinateurs des utilisateurs. Les clients du secteur de la finance institutionnelle achètent souvent un flux des 10 000 principaux domaines que les utilisateurs d'Avast visitent pour essayer de repérer les tendances, indique le manuel du produit.

Un autre produit Jumpshot est le soi-disant « All Click Feed » de la société. Il permet à un client d'acheter des informations sur tous les clics que Jumpshot a vus sur un domaine particulier, comme Amazon.com, Walmart.com, Target.com, BestBuy.com ou Ebay.com.

Dans un tweet envoyé le mois dernier destiné à attirer de nouveaux clients, Jumpshot a noté qu'il recueille « Chaque recherche. Chaque clic. Chaque achat. Sur chaque site », l'emphase a été mise par Jumpshot.

Les données de Jumpshot pourraient montrer comment une personne avec un antivirus Avast installé sur son ordinateur a recherché un produit sur Google, a cliqué sur un lien qui l'a emmené sur Amazon, puis a peut-être ajouté un article à son panier sur un autre site Web, avant d'acheter enfin un produit sur Amazon, explique la source qui a fourni les documents.

Selon une copie de son contrat avec Jumpshot, une société qui a acheté le flux All Clicks est la société de marketing basée à New York Omnicom Media Group. Omnicom a payé à Jumpshot 2 075 000 $ pour l'accès aux données en 2019, indique le contrat. Il comprenait également un autre produit appelé Insight Feed pour 20 domaines différents. Les frais pour les données en 2020 puis en 2021 sont respectivement de 2 225 000 $ et 2 275 000 $, ajoute le document.

Jumpshot a permis à Omnicom d'accéder à tous les flux de clics de 14 pays différents à travers le monde, y compris les États-Unis, l'Angleterre, le Canada, l'Australie et la Nouvelle-Zélande. Le produit inclut également le sexe présumé des utilisateurs « en fonction du comportement de navigation », leur âge présumé et « la chaîne URL entière », mais avec les informations personnelles identifiables (PII) supprimées, ajoute le contrat.

Selon le contrat Omnicom, « l'ID d'appareil » de chaque utilisateur est haché, ce qui signifie que l'entreprise achetant les données ne devrait pas être en mesure d'identifier qui se cache exactement derrière chaque élément de navigation. Au lieu de cela, les produits de Jumpshot sont censés donner un aperçu aux entreprises qui souhaitent voir quels produits sont particulièrement populaires, ou l'efficacité d'une campagne publicitaire.

« Ce que nous ne faisons pas, c'est un rapport sur l'ID d'appareil Jumpshot qui a exécuté les clics pour se protéger contre la triangulation des PII », lit-on dans un document Jumpshot interne. Mais les données de Jumpshot peuvent ne pas être totalement anonymes. Le manuel du produit interne indique que les ID de périphérique ne changent pas pour chaque utilisateur, « sauf si un utilisateur désinstalle et réinstalle complètement le logiciel de sécurité ». De nombreux articles et études universitaires ont montré comment il est possible de retrouver l'identité des données de personnes censées être anonymisées.

La réaction d'Avast

Motherboard et PCMag ont posé à Avast une série de questions détaillées sur la façon dont il protège l'anonymat des utilisateurs ainsi que des détails sur certains des contrats de l'entreprise. Avast n'a pas répondu à la plupart des questions, mais a écrit dans une déclaration : « En raison de notre approche, nous nous assurons que Jumpshot n'acquiert pas d'informations d'identification personnelle, y compris le nom, l'adresse e-mail ou les coordonnées, des personnes utilisant notre logiciel antivirus gratuit populaire ».

« Les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot. En juillet 2019, nous avions déjà commencé à implémenter un choix opt-in explicite pour tous les nouveaux téléchargements de notre AV, et nous invitons maintenant également nos utilisateurs gratuits existants de faire un choix explicite, un processus qui s'achèvera en février 2020 », a assuré l'éditeur, ajoutant que la société se conforme au California Consumer Privacy Act (CCPA) et au Règlement Général sur la Protection des Données pour l'ensemble de sa base d'utilisateurs mondiale.

« Nous avons une longue expérience de la protection des appareils et des données des utilisateurs contre les logiciels malveillants, et nous comprenons et prenons au sérieux la responsabilité d'équilibrer la confidentialité des utilisateurs avec l'utilisation nécessaire des données », ajoute le communiqué.

Lorsque PCMag a installé le produit antivirus d'Avast pour la première fois ce mois-ci, le logiciel a demandé s'il souhaitait participer à la collecte de données : « Si vous le permettez, nous fournirons à notre filiale Jumpshot Inc. un ensemble de données anonymisées dérivant de votre historique de navigation afin de permettre à Jumpshot d'analyser les marchés et les tendances commerciales et de recueillir d'autres informations précieuses », pouvait lire PCMag. Cependant, le pop-up n'est pas entré en détail sur la façon dont Jumpshot utilise ces données de navigation.

« Les données sont totalement anonymisées et agrégées et ne peuvent pas être utilisées pour vous identifier ou vous cibler personnellement. Jumpshot pourrait partager des informations agrégées avec ses clients », a ajouté la fenêtre contextuelle.

Dans un communiqué adressé à la rédaction de developpez.com, Avast a déclaré :

« En décembre 2019, nous avons rapidement pris les mesures nécessaires pour répondre aux normes des boutiques d’extensions des navigateurs et nous sommes maintenant conformes à leurs exigences en ce qui concerne nos extensions de sécurité en ligne. Dans le même temps, nous avons complètement cessé d'utiliser les données des extensions de navigateur à d'autres fins que le moteur de sécurité principal, y compris le partage avec notre filiale Jumpshot.

« Nous veillons à ce que Jumpshot n'acquière pas d’information d'identification personnelle, notamment le nom, l'adresse email ou encore les coordonnées. Les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot. En juillet 2019, nous avions déjà commencé à mettre en place un choix explicite d'acceptation ou de refus pour tous les nouveaux téléchargements de notre logiciel, et nous invitons maintenant nos utilisateurs gratuits actuels à faire un choix d'acceptation ou de refus, un processus qui sera achevé en février 2020.

« Notre politique de confidentialité détaille les protections que nous mettons en place pour tous nos utilisateurs. Ces derniers peuvent également choisir d'ajuster leur niveau de confidentialité en utilisant le large éventail de paramètres disponibles dans nos produits, y compris le contrôle de tout partage de données à tout moment. Nous nous conformons volontairement aux exigences du RGPD et de la Loi sur la protection du consommateur de Californie (CCPA) en matière de protection de la vie privée pour l'ensemble de notre base d'utilisateurs mondiale.

« Nous avons une longue expérience de la protection des appareils et des données des utilisateurs contre les logiciels malveillants. Nous comprenons et prenons au sérieux la responsabilité d'équilibrer la vie privée des utilisateurs avec l'utilisation nécessaire des données pour nos principaux produits de sécurité ».

Source : rapport, Jumpshot

Et vous ?

Avez-vous un antivirus ?
Lequel ? Sur quelle plateforme ?
Utilisez-vous la version gratuite ou payante ?
Que pensez-vous de cette stratégie autour de l'exploitation des données de navigation ?

[darklinux]

Comment jouer les vierges effarouché devant ces annonces . Avast à une réputation exécrable , pire qu ' Oracle !

[Stéphane le calme]

Avast présente ses excuses pour la vente de données des utilisateurs de la version gratuite de son application
et annonce la fermeture avec effet immédiat de sa filiale d'analyse marketing Jumpshot

Le mois dernier, nous évoquions le fait qu'Avast profiterait de sa position privilégiée au sein du marché pour collecter et monétiser les données de navigation de ses clients, depuis au moins 2013.

Dans une tentative visant à rassurer le marché, Ondrej Vlcek, le nouveau DG d’Avast, a confié au média Forbes qu’il n’y avait malgré tout pas de scandale lié à la protection de la vie privée dans cette affaire, affirmant que la totalité des informations sur les utilisateurs collectées et vendues par sa boite ne permettaient en aucun de remonter jusqu’aux utilisateurs originels. Dans un souci de transparence apparent, il a également révélé que ces pratiques assurent à son groupe des gains non négligeables représentant environ 5 % du revenu total (soit plus de 20 millions de dollars en 2019).

Voici comment ça marche, selon Vlcek : l’activité Web des utilisateurs d’Avast est recueillie par les extensions de navigateur de l’entreprise. Mais avant d’arriver sur les serveurs d’Avast, ces données sont anonymisées, c’est-à-dire dépouillées de tout ce qui pourrait révéler l’identité d’une personne. Toutes ces données sont ensuite analysées par Jumpshot, une société rachetée par Avast en 2013, avant d’être vendues comme « insights » aux clients potentiels.

Vlcek indique que Jumpshot fournit « un aperçu de la façon dont les cohortes d’internautes utilisent le Web », en affichant par exemple, le pourcentage des visiteurs qui sont passés d’un site Web à un autre, et pourrait de ce fait être utile à quiconque surveille une campagne publicitaire. Il peut aider les entreprises à déterminer l’intérêt que leur produit suscite en ligne et suivre ce que les utilisateurs recherchent ou comment ils interagissent avec une marque ou un produit particulier. À ce propos, le patron d’Avast a expliqué : « Les clients typiques seraient, par exemple, des investisseurs qui seraient intéressés par l’état d’avancement des nouvelles campagnes des entreprises en ligne ».

Les documents qui en disent plus sur la façon dont la filiale d'Avast mène son activité en ligne

Toutefois, Avast a à nouveau essuyé des critiques à la suite d'une enquête menée par Motherboard et PCMag qui a révélé que la version gratuite du logiciel antivirus de la société continuait de collecter les données des utilisateurs et les vendait aux spécialistes du marketing.

En fait, les documents, issus de la filiale d'Avast appelée Jumpshot, ont permis d'en savoir plus sur la vente secrète et la chaîne d'approvisionnement des historiques de navigation Internet des utilisateurs. Selon les résultats de l'enquête, ils montrent que le programme antivirus Avast installé sur l'ordinateur d'une personne recueille des données, et que Jumpshot les reconditionne en différents produits qui sont ensuite vendus à la plupart des plus grandes entreprises du monde. Certains clients passés, présents et potentiels incluent Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit et bien d'autres. Certains clients ont payé des millions de dollars pour des produits qui incluent ce que l'on appelle un flux de clics, qui peut suivre le comportement des utilisateurs, les clics et les déplacements sur les sites Web de manière très précise.

Avast prétend avoir plus de 435 millions d'utilisateurs actifs par mois, et Jumpshot affirme qu'il dispose de données provenant de 100 millions d'appareils. En principe, Avast recueille des données auprès des utilisateurs qui donnent leur consentement et les fournit ensuite à Jumpshot, mais plusieurs utilisateurs d'Avast ont déclaré à Motherboard qu'ils n'étaient pas au courant qu'Avast avait vendu des données de navigation, ce qui soulève des questions sur la façon dont ce consentement est éclairé.

Jumpshot vend une variété de produits différents basés sur les données collectées par le logiciel antivirus Avast installé sur les ordinateurs des utilisateurs. Les clients du secteur de la finance institutionnelle achètent souvent un flux des 10 000 principaux domaines que les utilisateurs d'Avast visitent pour essayer de repérer les tendances, indique le manuel du produit.

Un autre produit Jumpshot est le soi-disant « All Click Feed » de la société. Il permet à un client d'acheter des informations sur tous les clics que Jumpshot a vus sur un domaine particulier, comme Amazon.com, Walmart.com, Target.com, BestBuy.com ou Ebay.com.

Dans un tweet envoyé le mois dernier destiné à attirer de nouveaux clients, Jumpshot a noté qu'il recueille « Chaque recherche. Chaque clic. Chaque achat. Sur chaque site », l'emphase a été mise par Jumpshot.

Les données de Jumpshot pourraient montrer comment une personne avec un antivirus Avast installé sur son ordinateur a recherché un produit sur Google, a cliqué sur un lien qui l'a emmené sur Amazon, puis a peut-être ajouté un article à son panier sur un autre site Web, avant d'acheter enfin un produit sur Amazon, explique la source qui a fourni les documents.

« La sécurité et la confidentialité de nos utilisateurs dans le monde est la priorité d'Avast »

La première réaction d'Avast a été d'essayer de rassurer les utilisateurs. Dans un billet de blog, l'éditeur a noté : « nous voulons rassurer nos utilisateurs qu'à aucun moment nous n'avons vendu d'informations personnelles identifiables à un tiers. Nous voulons garantir à tous nos utilisateurs et partenaires qu'ils ont pris la bonne décision de choisir Avast et les rassurer que leur vie privée est sécurisée et qu'il en est de même pour leurs données personnelles ».

Ce qui est pourtant contraire à ce qui a été trouvé par l'enquête menée par Motherboard et PCMag.

Et de préciser que :

« Le monde de la cybersécurité est aujourd'hui alimenté par les données. Nous utilisons les données des appareils de nos utilisateurs pour analyser d'énormes volumes de données sur les menaces grâce à l'apprentissage automatique et à l'intelligence artificielle, qui détecte les modèles de menace et les problèmes de sécurité qui seraient impossibles pour les humains s'ils n'avaient aucune aide. Chaque mois, Avast stoppe 1,5 milliard de tentatives d'attaque dans le monde. Ce conflit est à la fois entraîné et résolu par les données.

« Lorsque Jumpshot a été lancé pour la première fois en 2015, l'idée était de créer un moyen innovant de fournir aux spécialistes du marketing des analyses de tendances et des statistiques sur les habitudes d'achat des clients qui étaient dépersonnalisé, plutôt qu'un ciblage utilisateur spécifique qui a toujours été omniprésent sur le Web. Nous savions qu'il était essentiel que les données de navigation soient traitées de manière éthique, en incluant une dépersonnalisation des informations personnelles et en exigeant que les individus ne soient pas ciblés pour le marketing et la publicité.

« Au sein de notre produit, nos utilisateurs disposent d'un large éventail de paramètres de confidentialité. Les utilisateurs ont toujours eu le contrôle de leur partage de données. Des ajustements de confidentialité peuvent être effectués à tout moment en sélectionnant Menu - Paramètres - Confidentialité et vie privée.

« Cela inclut des choix tels que permettre à leurs données d'être utilisées en interne par Avast pour des améliorations de produits et des analyses de produits, ou leurs données anonymisées par Jumpshot pour des analyses de tendances.

« Bien que nous ayons agi pleinement dans les limites légales, en restant toujours vigilants pour protéger la confidentialité de nos utilisateurs, nous avons écouté les récents commentaires et avons déjà pris des mesures pour nous aligner sur les attentes de nos utilisateurs et continuer à examiner comment un service d'analyse des tendances s'aligne sur nos valeurs en tant qu'entreprise de cybersécurité et de confidentialité ».

Plus loin, l'entreprise prévoit d'apporter des changements, mais il est peu probable qu'ils apaisent beaucoup de gens.

« En juillet 2019, nous avons commencé à tester un choix d'adhésion explicite pour tous les nouveaux téléchargements de notre Antivirus sur ordinateur qui remplacera le mécanisme de désactivation hérité, et nous sommes en train de l'étendre à tous les utilisateurs existants qui seront invités de manière proactive à faire leur propre choix.

« La sécurité et la confidentialité de nos utilisateurs et partenaires restent notre priorité absolue. Nous continuons d'explorer d'autres changements que nous pouvons apporter pour améliorer la transparence et le choix pour les utilisateurs de nos produits, et fournirons de nouvelles mises à jour en temps utile ».

En d'autres termes, les utilisateurs seront invités à accepter que leurs données soient collectées. Cette nouvelle fenêtre indique qu'Avast doit analyser les données afin de détecter les menaces car « c'est ainsi que fonctionne un antivirus »" et en acceptant cela, vous financerez des améliorations de votre sécurité. Cependant, il indique également que vous accorderez à Avast le droit de collecter et de partager vos données « anonymisées » avec Jumpshot, sa filiale d'analyse marketing, qui à son tour peut la vendre à des tiers.

À aucun moment dans le billet, Avast ne traite des conclusions de l'enquête selon lesquelles les données pourraient être liées à un individu, donnant l'impression que tout ce qui est collecté est anonyme, ce que Motherboard et PCMag affirment être tout simplement faux.

Le PDG d'Avast décide de mettre un terme aux activités de Jumpshot

Étant donné que le billet n'a pas eu l'effet escompté, le PDG d'Avast a décidé de mettre un terme aux activités de Jumpshot avec effet immédiat :

« À l'intention de nos précieux clients, partenaires, employés et investisseurs.

Je voudrais saisir cette occasion et aborder la situation concernant la vente de données anonymisées par Avast via sa filiale Jumpshot. La mission principale d'Avast est de garder les personnes du monde entier en sécurité, et je me rends compte que les nouvelles récentes concernant Jumpshot ont nui à beaucoup d'entre vous et ont soulevé à juste titre un certain nombre de questions, y compris la question fondamentale de la confiance.

En tant que PDG d'Avast, je me sens personnellement responsable et je voudrais m'excuser auprès de toutes les personnes concernées.

La protection des personnes est la priorité absolue d'Avast et doit être intégrée dans tout ce que nous faisons dans notre entreprise et dans nos produits. L'opposé est inacceptable.

Pour ces raisons, j'ai décidé, avec effet immédiat et conjointement avec notre conseil d'administration, de mettre fin à la collecte de données par Jumpshot et de fermer progressivement toutes les opérations de Jumpshot.

Afin de comprendre pourquoi nous sommes arrivés à cette décision, permettez-moi de vous donner un peu de contexte. Nous avons lancé Jumpshot en 2015 avec l'idée d'étendre nos capacités d'analyse de données au-delà de la sécurité de base. C'était pendant une période où il devenait de plus en plus évident que la cybersécurité allait être un jeu de big data. Nous pensions pouvoir tirer parti de nos outils et de nos ressources pour le faire de manière plus sécurisée que les innombrables autres sociétés qui collectaient des données.

Jumpshot a fonctionné comme une entreprise indépendante depuis le tout début, avec sa propre direction et son propre conseil d'administration, construisant leurs produits et services via le flux de données provenant des produits antivirus Avast. Pendant toutes ces années, Avast et Jumpshot ont pleinement agi dans les limites légales - et nous avons très bien accueilli l'introduction du RGPD dans l'Union européenne en mai 2018, car il s'agissait d'un cadre juridique rigoureux expliquant comment les entreprises devaient traiter les données des clients. Les entreprises Avast et Jumpshot se sont toutes les deux engagées à se conformer à 100 % au RGPD depuis le départ.

Lorsque j'ai endossé le poste de PDG d'Avast il y a sept mois, j'ai passé beaucoup de temps à réévaluer chaque partie de notre entreprise. Au cours de ce processus, je suis arrivé à la conclusion que l'activité de collecte de données n'est pas conforme à nos priorités en matière de confidentialité en tant qu'entreprise en 2020 et au-delà. Il est essentiel pour moi que le seul but d'Avast soit de faire du monde un endroit plus sûr, et je savais qu'en fin de compte, l'ensemble de l'entreprise devrait s'aligner sur cet objectif.

Alors que la décision que nous avons prise aura malheureusement un impact sur des centaines d'employés fidèles de Jumpshot et des dizaines de ses clients, il s'agit absolument de la bonne action à entreprendre. Je suis convaincu que cela aidera Avast à se concentrer et à libérer son plein potentiel pour tenir sa promesse de sécurité et de confidentialité. Je remercie tout particulièrement nos utilisateurs, dont les récents commentaires ont accéléré notre prise de décision.

Ce changement représente un nouveau chapitre dans l'histoire d'Avast visant à assurer la sécurité des personnes dans le monde. Nous sommes ravis de démontrer notre engagement concernant les priorités en matière d'innovation et de sécurité - avec un accent tout particulier en 2020 et au-delà. Merci pour votre soutien continu et la confiance que vous nous accordez. Nous ne décevrons pas ».

Jumpshot est le second plus grand sujet à controverse lié à la vie privée qui implique Avast au cours des derniers mois. L'automne dernier, un chercheur en sécurité a découvert que le plug-in de navigateur d'Avast Online Security collectait des informations sur les sites Web visités par les utilisateurs, puis retransmettait des données permettant à l'entreprise de reconstruire l'intégralité de l'historique et du comportement de navigation Web d'un internaute.

Google, Opera et Mozilla ont retiré certaines extensions Avast et AVG (qui appartient à Avast) de leurs navigateurs début décembre, après que la collecte des données a été révélée. Ils ont ensuite été ajoutés en tant qu'extensions facultatives dans Firefox après qu'Avast ait apporté des modifications aux pratiques de collecte de données des extensions.

Source : Avast (1, 2)

Et vous ?

Que pensez-vous de la réaction d'Avast ?

[devnino]

C’est toujours de cette façon que de tels criminels réagissent. Dès qu’ils se font prendre la main dans le sac, ils demandent des excuses, un classique. Tous ce qu’ils vont faire c’est renommer Jumpshot à Jumpblabla et c’est parti pour un autre tour.

Cela dit, dans la loi de ces criminels, si un produit est gratuit, c’est que c’est vous le produit 🤷🏻*♀️

[EliXirr]

pff ... quel bande d'escroc ...

[Anselme45]

Google, Opera et Mozilla ont retiré certaines extensions Avast et AVG (qui appartient à Avast) de leurs navigateurs début décembre, après que la collecte des données a été révélée. Ils ont ensuite été ajoutés en tant qu'extensions facultatives dans Firefox après qu'Avast ait apporté des modifications aux pratiques de collecte de données des extensions.

Le sieur PDG de Avast a beau dire "C'est vilain, vilain, ce que l'on a fait... Je me repens... Mea Culpa! Mea culpa! J'ai été illuminé par la grâce de l'éthique et de la morale et donc je supprime nos vilaines pratiques", en réalité c'est simplement le risque de voir Avast être exclu de "la table du banquet où les GAFAM de tout poil se gavent" par les autres acteurs qui le préoccupe.

Petite mention pour l'hypocrisie d'un Google qui flique depuis toujours ses utilisateurs mais qui se permet de taper sur les doigts de Avast!

[Citrax]

C'est surtout par peur de perdre des tonnes de clients et pas mal de fric.
Sauf que la confiance est brisée et c'est inadmissible de la part d'un antivirus si on peut pas lui faire confiance, celui ci n'a aucun intérêt.
C'est comme la Police qui vous trahit et refile vos infos aux bandits................Cf "Michel N."

Bien sûr facile de deviner que le gâteau devenait très gros et très appétissant quand tous les copains, les gafam et compagnie le font ouvertement et que personne ne dit rien sur cette planète quasi couverte de légumes.

Du reste ce mode de financement et fonctionnement est et reste toujours lamentable.
Je N'ai jamais cliqué de ma vie sur une pub Pepsi ou sur une de leur page, on en trouve chez auchan, carrefour, et compagnie. Alors si Pepsi et autres n'ont rien de mieux à faire que de dépenser de l'argent pour des trucs peu inutiles c'est vraiment triste. Ces grosses firmes sont enfermées dans un business model qui n'a ni queue ni tête en plus de n'avoir aucun sens !

Et toute cette histoire pour 5 % de revenu total alors qu'avast est parti tout petit et de rien il y a une quinzaine d'années.

Perso j'y réfléchirai à deux fois avant de l'installer sur un prochain ordinateur !

[alexetgus]

Quand un anti-virus devient malveillant, on fait quoi pour s'en protéger ? On le désinstalle ou on évite de l'installer ?

Pour ces raisons, j'ai décidé, avec effet immédiat et conjointement avec notre conseil d'administration, de mettre fin à la collecte de données par Jumpshot et de fermer progressivement toutes les opérations de Jumpshot.

Progressivement, ça veut dire quoi ?
On lève le pied et on reprendra de plus belle avec une nouvelle filiale quand tout le monde aura oublié ?

Google, Opera et Mozilla ont retiré certaines extensions Avast et AVG (qui appartient à Avast) de leurs navigateurs début décembre

Et maintenant Google qui s'offusque. Voilà la meilleure blague de l'année !



Pffff ! J'arrête là, ça me dégoutte...

[Invité]

Tu peux t'excuser Machin ! Ça y est, je suis parti et je ne reviendrai jaaaaaamais ! M'enfin !

[ManPaq]

En + il est tout à fait légitime, et je pense à AVG qui est très bon dans ce domaine, de signaler les fuites existantes et potentielles de nos données vers des tiers... Mais c'était pour conserver le monopole des informations de manière à faire monter les prix et accessoirement d'éviter au consommateur des désagréments!
Quel hypocrisie même si je trouvais l'approche d'AVG pédagogique j'oubliais de me méfier d'AVG lui-même (cheval de troie).
Pour Avast, rien que le fait de subsumer l'administrateur (en particulier pour la désinstallation) m'a dissuadé, même w$ defender est plus facile à débrayer.

[Anthony]

Avast condamné à une amende de 16,5 millions de dollars pour un logiciel de "protection de la vie privée" qui en fait collectait et vendait les données de navigation des utilisateurs sans leur accord

La Commission fédérale du commerce (FTC) des États-Unis a infligé à l'éditeur d'antivirus Avast une amende de 16,5 millions de dollars à la suite d'accusations selon lesquelles l'entreprise aurait vendu les données de navigation des utilisateurs à des annonceurs publicitaires après avoir prétendu que ses produits bloquaient le pistage en ligne.

En outre, l'entreprise s'est vu interdire de vendre ou de concéder sous licence des données de navigation à des fins publicitaires. Elle devra également informer les utilisateurs dont les données de navigation ont été vendues à des tiers sans leur consentement.

Dans sa plainte, la FTC affirme qu'Avast "a collecté de manière déloyale les informations de navigation des consommateurs par l'intermédiaire de ses extensions de navigateur et de son logiciel antivirus, les a stockées indéfiniment et les a vendues sans préavis adéquat et sans le consentement des consommateurs".

Elle accuse également la société britannique de tromper les utilisateurs en prétendant que le logiciel bloque le suivi par des tiers et protège la vie privée des utilisateurs, mais en omettant de les informer qu'elle vend leurs "données de navigation détaillées et réidentifiables" à plus de 100 tiers par l'intermédiaire de sa filiale Jumpshot.

De plus, les acheteurs de données pouvaient associer des informations non personnellement identifiables aux informations de navigation des utilisateurs d'Avast, ce qui permettait à d'autres entreprises de suivre et d'associer les utilisateurs et leur historique de navigation à d'autres informations dont elles disposaient déjà.

La pratique trompeuse en matière de confidentialité des données a été révélée en janvier 2020 à la suite d'une enquête conjointe de Motherboard et PCMag, désignant Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast et Intuit comme certains des "clients passés, présents et potentiels" de Jumpshot.

Un mois auparavant, les navigateurs web Google Chrome, Mozilla Firefox et Opera ont supprimé les modules complémentaires de navigateur d'Avast de leurs boutiques respectives, une recherche préalable du chercheur en sécurité Wladimir Palant en octobre 2019 considérant ces extensions comme des logiciels espions.

Les données, qui comprennent les recherches Google, les recherches de localisation et l'empreinte Internet d'un utilisateur, ont été collectées via le programme antivirus Avast installé sur l'ordinateur d'une personne sans demander son consentement éclairé.

"Les données de navigation [vendues par Jumpshot] comprenaient des informations sur les recherches des utilisateurs sur le web et les pages web qu'ils ont visitées - révélant les croyances religieuses des consommateurs, leurs préoccupations en matière de santé, leurs tendances politiques, leur localisation, leur situation financière, leurs visites de contenus destinés aux enfants et d'autres informations sensibles", a affirmé la FTC.

Jumpshot se décrit comme la "seule entreprise qui déverrouille les données de jardin clos" et affirme disposer des données de pas moins de 100 millions d'appareils en date d'août 2018. Les informations de navigation auraient été collectées depuis au moins 2014.

Les réactions hostiles à la protection de la vie privée ont incité Avast à "mettre fin à la collecte de données de Jumpshot et à cesser les activités de Jumpshot, avec effet immédiat."

Avast a depuis fusionné avec une autre société de cybersécurité, NortonLifeLock, pour former une nouvelle société mère appelée Gen Digital, qui comprend également d'autres produits comme AVG, Avira et CCleaner.

"Avast a promis aux utilisateurs que ses produits protégeraient la confidentialité de leurs données de navigation, mais a fait tout le contraire", a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC. "Les tactiques de surveillance d'Avast, basées sur le principe de l'appât et de l'échange, ont compromis la vie privée des consommateurs et enfreint la loi."

Le communiqué de presse de la FTC sur la condamnation du fournisseur de logiciels Avast est rapporté ci-dessous :

La FTC interdit à Avast de vendre des données de navigation à des fins publicitaires et l'oblige à verser 16,5 millions de dollars à la suite d'accusations selon lesquelles l'entreprise aurait vendu des données de navigation après avoir affirmé que ses produits bloqueraient le pistage en ligne
La FTC affirme qu'en dépit de ses promesses de protéger les consommateurs contre le suivi en ligne, Avast a vendu les données de navigation des consommateurs à des tiers.

La Federal Trade Commission va demander au fournisseur de logiciels Avast de payer 16,5 millions de dollars et lui interdire de vendre ou de concéder sous licence des données de navigation sur le web à des fins publicitaires, afin de répondre aux accusations selon lesquelles l'entreprise et ses filiales ont vendu ces informations à des tiers après avoir promis que ses produits protégeraient les consommateurs contre le pistage en ligne.

Dans sa plainte, la FTC affirme qu'Avast Limited, basée au Royaume-Uni, par l'intermédiaire de sa filiale tchèque, a collecté de manière déloyale les informations de navigation des consommateurs par l'intermédiaire des extensions de navigateur et du logiciel antivirus de la société, les a stockées indéfiniment et les a vendues sans préavis adéquat et sans le consentement du consommateur. La FTC accuse également Avast d'avoir trompé les utilisateurs en prétendant que le logiciel protégerait la vie privée des consommateurs en bloquant le suivi par des tiers, mais en omettant d'informer correctement les consommateurs qu'il vendrait leurs données de navigation détaillées et réidentifiables. La FTC affirme qu'Avast a vendu ces données à plus de 100 tiers par l'intermédiaire de sa filiale Jumpshot.

"Avast a promis aux utilisateurs que ses produits protégeraient la confidentialité de leurs données de navigation, mais a fait tout le contraire", a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC. "Les tactiques de surveillance d'Avast, basées sur le principe de l'appât et de l'échange, ont compromis la vie privée des consommateurs et enfreint la loi."

Depuis au moins 2014, la FTC affirme qu'Avast a collecté les informations de navigation des consommateurs par le biais d'extensions de navigateur, qui peuvent modifier ou étendre les fonctionnalités des navigateurs web des consommateurs, et par le biais de logiciels antivirus installés sur les ordinateurs et les appareils mobiles des consommateurs. Ces données de navigation comprenaient des informations sur les recherches web des utilisateurs et les pages web qu'ils visitaient - révélant les croyances religieuses des consommateurs, leurs préoccupations en matière de santé, leurs tendances politiques, leur localisation, leur statut financier, leurs visites de contenus destinés aux enfants et d'autres informations sensibles.

Selon la plainte, non seulement Avast n'a pas informé les consommateurs qu'elle collectait et vendait leurs données de navigation, mais la société a prétendu que ses produits réduiraient le suivi sur l'internet. Par exemple, lorsque les utilisateurs recherchaient les extensions de navigateur d'Avast, on leur disait qu'Avast "bloquerait les cookies de suivi gênants qui collectent des données sur vos activités de navigation" et promettait que son logiciel de bureau allait "protéger votre vie privée. Empêcher tout le monde d'accéder à votre ordinateur".

Après avoir racheté Jumpshot, un fournisseur de logiciels antivirus concurrent, Avast a rebaptisé l'entreprise en société d'analyse. De 2014 à 2020, Jumpshot a vendu les informations de navigation qu'Avast avait recueillies auprès des consommateurs à divers clients, dont des sociétés de publicité, de marketing et d'analyse de données et des courtiers en données, selon la plainte.

L'entreprise affirme qu'elle utilise un algorithme spécial pour supprimer les informations d'identification avant de transférer les données à ses clients. La FTC affirme toutefois que la société n'a pas suffisamment anonymisé les informations de navigation des consommateurs qu'elle a vendues sous une forme non agrégée par l'intermédiaire de divers produits. Par exemple, ses flux de données comprenaient un identifiant unique pour chaque navigateur web à partir duquel elle collectait des informations et pouvaient inclure chaque site web visité, des horodatages précis, le type d'appareil et de navigateur, ainsi que la ville, l'état et le pays. Lorsqu'Avast décrivait ses pratiques en matière de partage de données, elle affirmait faussement qu'elle ne transférait les informations personnelles des consommateurs que sous forme agrégée et anonyme, selon la plainte.

La FTC affirme que la société n'a pas interdit à certains de ses acheteurs de données de réidentifier les utilisateurs d'Avast sur la base des données fournies par Jumpshot. De plus, même lorsque les contrats d'Avast comportaient de telles interdictions, ils étaient formulés de manière à permettre aux acheteurs de données d'associer des informations non personnellement identifiables aux informations de navigation des utilisateurs d'Avast. En fait, certains des produits Jumpshot ont été conçus pour permettre aux clients de suivre des utilisateurs spécifiques ou même d'associer des utilisateurs spécifiques - et leur historique de navigation - à d'autres informations dont disposaient ces clients. Par exemple, comme l'indique la plainte, Jumpshot a conclu un contrat avec Omnicom, un conglomérat publicitaire, qui stipulait que Jumpshot fournirait à Omnicom un "All Clicks Feed" pour 50 % de ses clients aux États-Unis, au Royaume-Uni, au Mexique, en Australie, au Canada et en Allemagne. Selon le contrat, Omnicom était autorisé à associer les données d'Avast aux sources de données des courtiers en données, sur la base d'un utilisateur individuel.

Outre le versement de 16,5 millions de dollars, qui devraient servir à réparer les préjudices subis par les consommateurs, la proposition d'ordonnance interdira à Avast et à ses filiales de donner des informations erronées sur l'utilisation des données qu'elles collectent. Les autres dispositions de la proposition d'ordonnance sont les suivantes

• Interdiction de vendre les données de navigation : Il sera interdit à Avast de vendre ou de concéder sous licence à des tiers, à des fins publicitaires, des données de navigation provenant de produits de la marque Avast ;
• Obtention d'un consentement explicite : L'entreprise doit obtenir le consentement explicite des consommateurs avant de vendre ou de concéder sous licence à des tiers, à des fins publicitaires, des données de navigation provenant de produits autres que ceux d'Avast ;
• Suppression des données et des modèles : Avast doit supprimer les informations de navigation Web transférées à Jumpshot et tous les produits ou algorithmes que Jumpshot a dérivés de ces données ;
• Notification des consommateurs : Avast devra informer les consommateurs dont les informations de navigation ont été vendues à des tiers sans leur consentement des mesures prises par la FTC à l'encontre de l'entreprise.
• Mise en œuvre d'un programme de protection de la vie privée : Avast devra mettre en œuvre un programme complet de protection de la vie privée pour remédier aux fautes mises en évidence par la FTC.

La Commission a voté par 3 voix contre 0 l'émission de la plainte administrative et l'acceptation de l'accord proposé. La présidente de la FTC, Lina M. Khan, ainsi que les commissaires Rebecca Kelly Slaughter et Alvaro Bedoya ont publié une déclaration à ce sujet.

La FTC publiera prochainement une description de l'accord dans le Registre fédéral. L'accord sera soumis aux commentaires du public pendant 30 jours après sa publication dans le Federal Register, après quoi la Commission décidera de rendre ou non l'accord proposé définitif. Les instructions pour le dépôt des commentaires figureront dans l'avis publié. Une fois traités, les commentaires seront publiés sur Regulations.gov.

REMARQUE : la Commission émet une plainte administrative lorsqu'elle a des "raisons de croire" que la loi a été ou est violée, et qu'il lui semble qu'une procédure est dans l'intérêt public. Lorsque la Commission émet une ordonnance par consentement à titre définitif, celle-ci a force de loi en ce qui concerne les actions futures. Chaque violation d'une telle ordonnance peut donner lieu à une amende civile pouvant aller jusqu'à 51 744 dollars.

Cathlin Tully et Andy Hasty, du Bureau de la protection des consommateurs de la FTC, sont les principaux avocats de la Commission dans cette affaire.

Source : La Commission fédérale du commerce (FTC)

Et vous ?

Quel est votre avis sur le sujet ?

Trouvez-vous que cette décision de la FTC est proportionnée et pertinente ?

Voir aussi :

La société de cybersécurité Avast collecte et vend les données de navigation de ses clients, début d'explication avec le DG du groupe

Norton et Avast fusionnent pour former un empire antivirus de 8 milliards de dollars et créer un géant mondial de la cybersécurité grand public