Avis de gros temps pour Avast. Le célèbre antivirus tchèque est depuis plusieurs mois au cœur d’une lourde controverse concernant la manière dont il collecte et monétise les habitudes de navigation de sa clientèle. Cette polémique a connu un rebond le 27 janvier avec la publication conjointe par Motherboard et PCMag d’une enquête critiquant un peu plus le business conduit par l’éditeur.
Les deux publications se montrent en effet particulièrement critiques sur les allégations d’Avast pour préserver la vie privée de ses utilisateurs. L’entreprise, déjà pointée du doigt en décembre, déclarait avoir mis en plus une procédure d’anonymisation des données de manière à éviter d’associer des activités en ligne à une personne en particulier. Mais dans les faits, c’est loin d’être totalement sûr.
« Avast recueille l’historique des navigateurs web des internautes sous prétexte que les données ont été ‘dé-identifiées’ […]. Mais ces données, qui sont vendues à des tiers, peuvent être reliées à la véritable identité des individus », prévient ainsi PCMag d’entrée de jeu, ce qui peut de fait compromettre le caractère privé, voire intime, de certaines requêtes en ligne.
Des experts cités par Motherboard confirment : « La dé-identification s’est révélée être un processus très sujet aux échecs. Il y a tellement de façons dont elle peut mal tourner », juge Günes Acar. « La plupart des menaces posées par la dé-anonymisation vient de la capacité à fusionner les informations avec d’autres données », ajoute-t-il. Eric Goldman enfonce le clou : « Il est quasi impossible de dé-identifier les données ».
Avast tente de calmer le jeu
La sortie de ces deux articles vient battre en brèche la sortie médiatique d’Ondrej Vlcek, le patron d’Avast, le 9 décembre, après les premières polémiques impliquant les extensions pour navigateur d’Avast et AVG (qui appartient aussi à l’éditeur tchèque). À l’époque, dans les colonnes de Forbes, l’intéressé avait assuré qu’il n’y avait ici aucun scandale lié à la vie privée de sa clientèle.
Signe du sérieux de l’affaire, Mozilla a retiré pas moins de quatre extensions (deux d’Avast et deux d’AVG) en guise de riposte, tout comme Opera. Google avait suivi par la suite, en mettant de côté trois extensions, après les signalements de Wladimir Palant, qui avait été à l’origine du déclenchement de l’affaire le 28 octobre 2019 dans un billet de blog dénonçant l’espionnage d’Avast Online Security et Avast Secure Browser.
Ondrej Vlcek a expliqué au magazine qu’effectivement, ses extensions pour navigateur web collectent les habitudes de navigation des internautes. Une fois cette étape faite, tout ce qui est susceptible de révéler l’identité d’un individu est retiré (ce peut être un nom dans une URL, comme dans le cas où il s’agit d’un lien pointant vers un profil Facebook), puis ce qui reste est envoyé sur les serveurs d’Avast.
Le travail d’analyse est ensuite accompli par une entreprise appelée Jumpshot, qui est détenue à 65 % par Avast. Les résultats de ces analyses sont ensuite vendus à des clients divers (les noms de Google, Microsoft, Pepsi, Sephora ou encore Yelp sont mentionnés parmi des clients passés ou potentiels). Selon Avast, il ne s’agit que d’un aperçu de la façon dont des « cohortes d’internautes » utilisent le web.
« Nous n’autorisons absolument aucun annonceur ou tiers à obtenir un accès par l’intermédiaire d’Avast ou à des données qui permettraient au tiers de cibler cette personne en particulier », affirmait encore Ondrej Vlcek, avant que les enquêtes de janvier ne viennent remettre en cause ses affirmations. Et de déclarer que cette activité est en fait minime dans les affaires du groupe — environ 5 %.
Avast cesse la collecte
La polémique ouverte depuis décembre risque d’être difficile à passer pour Avast, car la société se retrouve dans une situation paradoxale : elle qui commercialise des solutions visant à protéger les internautes se retrouve dans une activité qui est susceptible de les exposer, cela même si elle prend des mesures pour que les données ne permettent pas de retrouver quelqu’un.
Force est toutefois de constater que malgré les assurances d’Ondrej Vlcek, il y avait bel et bien un problème pour le respect de la vie privée puisque, selon Motherboard et PCMag, Avast a cessé de transmettre à Jumpshot les données sur les habitudes de navigation que collectaient ses différentes extensions pour navigateur. Celles-ci sont d’ailleurs de nouveau proposées sur les boutiques d’applications des navigateurs.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !