Getty Images
Avast, un nom connu pour ses recherches en matière de sécurité et ses applications antivirus, propose depuis longtemps des extensions Chrome, des applications mobiles et d’autres outils visant à accroître la confidentialité.
Les applications d’Avast « bloqueraient les cookies de suivi ennuyeux qui collectent des données sur vos activités de navigation » et empêcheraient les services Web de « suivre votre activité en ligne ». Au plus profond de sa politique de confidentialité, Avast a déclaré que les informations collectées seraient « anonymes et globales ». Dans sa rhétorique la plus féroce, le logiciel de bureau d’Avast a affirmé qu’il empêcherait « les pirates informatiques de gagner de l’argent grâce à vos recherches ».
Tout ce langage a été proposé alors qu’Avast collectait les informations du navigateur des utilisateurs de 2014 à 2020, puis les vendait à plus de 100 autres sociétés par l’intermédiaire d’une entité aujourd’hui fermée connue sous le nom de Jumpshot, selon la Federal Trade Commission. En vertu d’une récente proposition d’ordonnance de la FTC (PDF), Avast doit payer 16,5 millions de dollars, qui « devraient être utilisés pour offrir réparation aux consommateurs », selon la FTC. Il sera également interdit à Avast de vendre de futures données de navigation, devra obtenir un consentement exprès pour la collecte future de données, informer les clients des ventes de données antérieures et mettre en œuvre un « programme complet de confidentialité » pour remédier aux comportements antérieurs.
Contacté pour commenter, Avast a fourni une déclaration faisant état de la fermeture de Jumpshot par la société début 2020. « Nous sommes engagés dans notre mission de protection et d’autonomisation de la vie numérique des gens. Bien que nous ne soyons pas d’accord avec les allégations de la FTC et la caractérisation des faits, nous sommes heureux. pour résoudre ce problème et nous sommes impatients de continuer à servir nos millions de clients à travers le monde », indique le communiqué.
Les données étaient loin d’être anonymes
La plainte de la FTC (PDF) indique qu’après avoir acquis Jumpshot, alors concurrent antivirus, début 2014, Avast a rebaptisé l’entreprise en tant que vendeur d’analyses. Jumpshot a annoncé qu’il offrait des « informations uniques » sur les habitudes de « [m] » Plus de 100 millions de consommateurs en ligne dans le monde. » Cela incluait la possibilité de « [s]Découvrez où va votre public avant et après avoir visité votre site ou les sites de vos concurrents, et suivez même ceux qui visitent une URL spécifique.
Alors qu’Avast et Jumpshot ont affirmé que les données d’identification avaient été supprimées, la FTC affirme que ce n’était « pas suffisant ». Les offres Jumpshot comprenaient un identifiant d’appareil unique pour chaque navigateur, inclus dans des données telles qu’un « flux de tous les clics », un « flux de clics Search Plus », un « flux de transactions » et plus encore. La plainte de la FTC détaille la manière dont diverses entreprises achètent ces flux, souvent dans le but exprès de les associer aux propres données d’une entreprise, jusqu’à chaque utilisateur individuel. Certains contrats Jumpshot tentaient d’interdire la ré-identification des utilisateurs d’Avast, mais « ces interdictions étaient limitées », note la plainte.
Le lien entre Avast et Jumpshot est devenu largement connu en janvier 2020, après qu’un article de Vice et PC Magazine ait révélé que des clients, notamment Home Depot, Google, Microsoft, Pepsi et McKinsey, achetaient des données à Jumpshot, comme le montrent les contrats confidentiels. Les données obtenues par les publications ont montré que les acheteurs pouvaient acheter des données, notamment des recherches sur Google Maps, des pages LinkedIn et YouTube individuelles, des sites pornographiques, etc. « C’est très granulaire et ce sont d’excellentes données pour ces entreprises, car elles se situent au niveau de l’appareil avec un horodatage », a déclaré une source à Vice.
La plainte de la FTC fournit plus de détails sur la manière dont Avast, sur ses propres forums Web, a cherché à minimiser sa présence dans Jumpshot. Avast a suggéré à la fois que seules des données non agrégées étaient fournies à Jumpshot et que les utilisateurs étaient informés lors de l’installation du produit de la collecte de données afin de « mieux comprendre les tendances nouvelles et intéressantes ». Aucune de ces affirmations ne s’est avérée vraie, suggère la FTC. Et les données collectées étaient loin d’être anodines, compte tenu de leur caractère réidentifiable :
Par exemple, un échantillon de seulement 100 entrées sur des milliards retenus par les répondants
a montré les visites des consommateurs sur les pages suivantes : un article académique sur une étude des symptômes
du cancer du sein; Annonce de la candidature présidentielle de la sénatrice Elizabeth Warren ; un cours CLE
sur les exonérations fiscales ; emplois gouvernementaux à Fort Meade, Maryland avec un salaire supérieur à
100 000 $ ; un lien (puis rompu) vers le milieu d’une demande FAFSA (aide financière) ;
itinéraires sur Google Maps d’un endroit à un autre ; une école pour enfants de langue espagnole
Vidéo Youtube; un lien vers un site de rencontre français, comprenant un identifiant de membre unique ; et le cosplay
érotique.
Dans un article de blog accompagnant son annonce, l’avocate principale de la FTC, Lesley Fair, écrit qu’en plus de la double nature des produits de confidentialité d’Avast et du suivi approfondi de Jumpshot, la FTC considère de plus en plus les données de navigation comme « des informations hautement sensibles qui nécessitent le plus grand soin ». « Les données sur les sites Web qu’une personne visite ne sont pas simplement un autre actif d’entreprise ouvert à une exploitation commerciale sans entrave », écrit Fair.
Les commissaires de la FTC ont voté 3-0 pour déposer la plainte et accepter l’accord de consentement proposé. La présidente Lina Khan, ainsi que les commissaires Rebecca Slaughter et Alvaro Bedoya, ont publié une déclaration sur leur vote.
Depuis la plainte de la FTC et son activité Jumpshot, Avast a été racheté par Gen Digital, une société qui comprend Norton, Avast, LifeLock, Avira, AVG, CCLeaner et ReputationDefender, entre autres activités de sécurité.
Divulgation : Condé Nast, la société mère d’Ars Technica, a reçu des données de Jumpshot avant sa fermeture.