"Quand c'est gratuit, c'est toi le produit ! " Voilà un slogan très souvent aux GAFA qui concernerait finalement également Avast, la solution antivirale gratuite, et donc ultra populaire depuis plusieurs années.

C'est une enquête conjointe des sites MotherBoard et PCMag qui débouche sur des révélations-chocs concernant l'éditeur d'Avast : l'antivirus espionnerait ainsi les utilisateurs pour collecter des données personnelles afin de les revendre à certains tiers comme Microsoft, Goolge, Yelp, Pepsi...

avast

Tout est parti de l'alerte lancée par le fondateur d'Ad Block en décembre 2019. Ce dernier indiquait que les extensions d'Avast et AVG avaient tendance à espionner les utilisateurs... Partant de cela, Motherboard et PC Mag ont mené l'enquête.

Il apparait ainsi qu'Avast collecterait bel et bien les données de navigation des utilisateurs pour les revendre à des sociétés tierces. Avast compte actuellement plus de 450 millions d'utilisateurs à travers le monde, et disons-le clairement, ce n'est pas pour l'efficacité de sa protection, mais bien pour la gratuité du service. La revente des données personnelles de sa base d'utilisateurs rapporterait ainsi un joli magot.

Alors certes, les données ainsi collectées sont anonymes (pas d'adresse mail, ni IP, ni nom associé), mais le tout est associé à un identifiant connu d'Avast, qui peut donc recroiser les données.

Le service qui se charge de la collecte et de la vente de données pour Avast est baptisé Jumpshot, une société qui officiait justement déjà au niveau des extensions d'Avast sur les navigateurs pour récupérer les données de connexion des utilisateurs.

Interrogé sur le sujet, Avast indique que l'ensemble de la collecte de données est conforme au RGPD et insiste sur le fait que les données partagées aux partenaires sont parfaitement anonymes. Sauf que ces données sont en réalité collectées sur les clics individuels et que les entreprises qui récupèrent ces données peuvent rapidement recroiser les informations avec leurs propres données pour identifier les utilisateurs.

Face au scandale qui s'annonce, Avast a déjà dégainé une réponse officielle :

En décembre 2019, nous avons rapidement pris les mesures nécessaires pour répondre aux normes des boutiques d’extensions des navigateurs et nous sommes maintenant conformes à leurs exigences en ce qui concerne nos extensions de sécurité en ligne. Dans le même temps, nous avons complètement cessé d’utiliser les données des extensions de navigateur à d’autres fins que le moteur de sécurité principal, y compris le partage avec notre filiale Jumpshot.

Nous veillons à ce que Jumpshot n’acquière pas d’information d’identification personnelle, notamment le nom, l’adresse email ou encore les coordonnées. Les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot. En juillet 2019, nous avions déjà commencé à mettre en place un choix explicite d’acceptation ou de refus pour tous les nouveaux téléchargements de notre logiciel, et nous invitons maintenant nos utilisateurs gratuits actuels à faire un choix d’acceptation ou de refus, un processus qui sera achevé en février 2020.

Notre politique de confidentialité détaille les protections que nous mettons en place pour tous nos utilisateurs. Ces derniers peuvent également choisir d’ajuster leur niveau de confidentialité en utilisant le large éventail de paramètres disponibles dans nos produits, y compris le contrôle de tout partage de données à tout moment. Nous nous conformons volontairement aux exigences du RGPD et de la Loi sur la protection du consommateur de Californie (CCPA) en matière de protection de la vie privée pour l’ensemble de notre base d’utilisateurs mondiale.

Nous avons une longue expérience de la protection des appareils et des données des utilisateurs contre les logiciels malveillants. Nous comprenons et prenons au sérieux la responsabilité d’équilibrer la vie privée des utilisateurs avec l’utilisation nécessaire des données pour nos principaux produits de sécurité