Comment Avast vend secrètement vos données de navigation

Avast, un des antivirus gratuits les plus utilisés au monde, collecte les donnéesde ses centaines de millions d’utilisateurs pour les revendre à des grandes marques, selon une enquête que nous avons menée conjointement avec PCMag. Notre rapport repose sur une fuite de données d’utilisateurs, de contrats et autres documents commerciaux de l'entreprise qui révèlent également que, bien souvent, cette transaction reste secrète entre le vendeur et l’acheteur.

Les documents proviennent de Jumpshot, une filiale d’Avast, et permettent d’en savoir plus sur la vente secrète et la chaîne d'approvisionnement des historiques de navigation Internet des utilisateurs. Les résultats de l’enquête montrent que le programme antivirus Avast installé sur l’ordinateur d’une personne recueille des données, et que ces données sont ensuite reconditionnées par Jumpshot en différents produits qui sont vendus à de nombreuses grandes entreprises mondiales. Parmi ses clients réguliers, on retrouve Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit et bien d'autres. Certains d’entre eux ont payé des millions de dollars pour des produits qui comprennent ce que l’on appelle un « flux de clics », qui peut suivre de manière très précise le comportement, les clics et les mouvements des utilisateurs sur les sites web.

Avast se targue d’avoir plus de 435 millions d'utilisateurs actifs par mois, et Jumpshot dit être en possession de données provenant de 100 millions d'appareils. En principe, Avast recueille des données auprès des utilisateurs qui donnent leur consentement et les fournit ensuite à Jumpshot, mais plusieurs utilisateurs d'Avast nous ont dit qu'ils ignoraient tout de ces transactions, ce qui amène à se demander si ce consentement est vraiment éclairé.

Les données que nous avons obtenues comprennent les recherches Google, les recherches de localisation et les coordonnées GPS sur Google Maps, les visites de pages d’entreprises sur LinkedIn, les vidéos YouTube et les visites de sites pornographiques. Il est possible de déterminer, à partir des données collectées, la date et l'heure auxquelles un utilisateur anonyme s’est rendu sur YouPorn ou PornHub et, dans certains cas, le terme entré dans la barre de recherche du site porno et la vidéo regardée.

Bien que les données ne comprennent pas d'informations personnelles telles que les noms des utilisateurs, elles contiennent néanmoins une multitude de données de navigation spécifiques, et les experts affirment qu’il serait possible de désanonymiser certains utilisateurs.

Dans un communiqué de presse publié en juillet, Jumpshot affirme être « la seule entreprise à déverrouiller les données des jardins clos » et cherche à « offrir aux spécialistes du marketing une plus grande visibilité sur l'ensemble du parcours en ligne des clients ». Jumpshot a déjà évoqué publiquement certains de ses clients. Mais parmi les autres sociétés mentionnées dans les documents de Jumpshot, on retrouve Expedia, IBM, Intuit, qui développe TurboTax, L’oréal et Home Depot. Les employés ont pour instruction de ne pas parler publiquement des relations de Jumpshot avec ces entreprises. « C'est très granulaire, et ce sont des données formidables pour ces entreprises, car elles sont réduites au niveau de l'appareil avec un horodatage », explique une source anonyme, en référence à la spécificité et à la sensibilité des données vendues.

Jusqu'à récemment, Avast recueillait les données de navigation des clients ayant installé le plug-in de navigation de l'entreprise, conçu pour mettre en garde les utilisateurs contre les sites suspects. Wladimir Palant, chercheur en sécurité et créateur d'AdBlock Plus, a publié en octobre un billet de blog montrant comment Avast collectait les données des utilisateurs avec ce plug-in. Peu de temps après, Mozilla, Opera et Google ont supprimé les extensions d’Avast et de sa filiale AVG de leurs catalogues d'extensions de navigateurs respectifs. Avast avait précédemment expliqué cette collecte et ce partage de données sur un blog et sur un forum en 2015. Depuis, Avast aurait cessé d'envoyer des données de navigation collectées par ces extensions à Jumpshot.

Et pourtant, la collecte de données se poursuit, selon la source et les documents. Au lieu de collecter des informations par le biais d'un logiciel attaché au navigateur, Avast le fait via son logiciel antivirus lui-même. La semaine dernière, des mois après avoir été pris la main dans le sac en train d’utiliser ses extensions de navigateur pour envoyer des données à Jumpshot, Avast a commencé à demander aux consommateurs de son logiciel antivirus existants de participer à la collecte de données, selon un document interne.

« Si l'utilisateur y consent, alors son appareil fait partie du panel Jumpshot et toute activité basée sur un navigateur sera signalée à Jumpshot, indique un manuel de produit interne. Quelles URL cet appareil a-t-il consultées, dans quel ordre et à quel moment ? »

Selon le sénateur Ron Wyden, qui en décembre avait demandé à l’entreprise Avast pourquoi elle vendait les données de navigation de ses utilisateurs : « Il est encourageant qu'Avast ait mis fin à certaines de ses pratiques les plus problématiques. Mais je suis préoccupé par le fait que la société ne s’est engagée ni à supprimer les données des utilisateurs qui ont été collectées et partagées sans leur consentement, ni à mettre fin à la vente de ces données de navigation sensibles. La seule ligne de conduite responsable est d'être totalement transparent avec les clients à l'avenir, et de supprimer les données qui ont été collectées dans des conditions suspectes dans le passé. »

Bien qu'Avast demande actuellement aux utilisateurs d’accepter la collecte de données via une fenêtre pop-up dans le logiciel antivirus, plusieurs d’entre eux ont déclaré qu'ils ne savaient pas que la société vendait leurs données de navigation. « Je n'étais pas au courant. Ça me fait peur. En général, je dis non au suivi des données », dit Keith, un utilisateur de l’antivirus gratuit d’Avast, assurant qu'il n'avait encore jamais vu la nouvelle fenêtre pop-up en question. « Je ne savais pas qu'ils faisaient ça :( », nous dit un autre utilisateur de l’édition gratuite d’Avast.

Nous avons contacté la majorité des entreprises mentionnées dans les documents internes. Seule une poignée a accepté de nous répondre. « Nous utilisons parfois des informations provenant de fournisseurs tiers pour améliorer nos activités, nos produits et nos services. Nous exigeons que ces fournisseurs disposent des droits appropriés pour partager ces informations avec nous. Dans ce cas, nous recevons des données d’audience anonymes, qui ne permettent pas de mettre une identité sur un utilisateur », déclare un porte-parole de Home Depot.

La société Microsoft a refusé de commenter les raisons pour lesquelles elle achetait des produits Jumpshot, mais a déclaré qu'elle n'avait pas de relation avec l'entreprise pour le moment. Un porte-parole de Yelp a écrit dans un mail : « En 2018, dans le cadre d'une demande des autorités antitrust, l'équipe politique de Yelp a dû estimer l'impact anticoncurrentiel de Google sur le marché de la recherche locale. Jumpshot s’est engagé de manière ponctuelle à générer des rapports de données sur les tendances, qui ont validé d'autres estimations de Google sur le détournement du trafic internet. Aucune donnée à caractère personnel (DCP) n'a été demandée ou consultée. »

Southwest Airlines a déclaré avoir eu des discussions avec Jumpshot mais n'être pas parvenu à un accord avec la compagnie. IBM a déclaré qu'elle n'avait pas d'antécédents en tant que client, et Altria a déclaré qu'elle ne travaillait pas avec Jumpshot actuellement, sans toutefois préciser si elle l'avait fait auparavant. Google n'a pas souhaité répondre à notre demande de commentaires.

Sur son site et dans ses communiqués de presse, Jumpshot cite parmi ses clients Pepsi ainsi que les géants du conseil en stratégie Bain & Company et McKinsey. Outre Expedia, Intuit et L’oréal, d'autres sociétés n’apparaissent pas dans les annonces publiques de Jumpshot, notamment le producteur de café Keurig, le service d’optimisation des vues sur YouTube vidIQ et la société d’analyse concurrentielle Hitwise. Aucune de ces entreprises n'a souhaité répondre à notre demande de commentaires.

Sur son site, Jumpshot énumère quelques études de cas antérieures sur l'utilisation des données de navigation. Le groupe de publication Condé Nast, par exemple, a utilisé les produits de Jumpshot pour voir si ses publicités se traduisaient par une augmentation des achats sur Amazon et ailleurs. Condé Nast n'a pas souhaité répondre à notre demande de commentaires.

Jumpshot vend une variété de produits basés sur les données collectées par le logiciel antivirus Avast installé sur les ordinateurs des utilisateurs. Le plus souvent, les entreprises du secteur achètent un flux d’environ 10 000 domaines visités par les utilisateurs ayant activé Avast afin d’estimer les prochaines tendances, selon le manuel du produit.

Un autre produit Jumpshot est appelé « All Click Feed ». Il permet à un client d'acheter des informations sur tous les clics que Jumpshot a vus sur un domaine particulier, comme Amazon.com, Walmart.com, Target.com, BestBuy.com ou Ebay.com.

Dans un tweet publié le mois dernier pour attirer de nouveaux clients, Jumpshot a déclaré recueillir : « Toutes les recherches. Tous les clics. Tous les achats. Sur tous les sites. »

Les données de Jumpshot pourraient montrer comment une personne avec un antivirus Avast installé sur son ordinateur a recherché un produit sur Google, a cliqué sur un lien qui l'a emmené sur Amazon, puis a peut-être ajouté un article à son panier sur un autre site Web, avant d'acheter enfin un produit sur Amazon, explique la source qui a fourni les documents.

Parmi les entreprises ayant acheté le « All Clicks Feed », on trouve la société de marketing new-yorkaise Omnicom Media Group, selon une copie de son contrat avec Jumpshot. En 2019, Omnicom a versé 2 075 000 dollars à Jumpshot pour avoir accès aux données, toujours selon le contrat. Il était également question d'un autre produit appelé « Insight Feed » pour vingt domaines différents. Les frais pour les données en 2020 et 2021 s'élèvent respectivement à 2 225 000 et 2 275 000 dollars.

Jumpshot a permis à Omnicom d'accéder à tous les flux de clics de quatorze pays à travers le monde, dont les États-Unis, l'Angleterre, le Canada, l'Australie et la Nouvelle-Zélande. Le produit inclut également le sexe présumé des utilisateurs « en fonction de leur comportement de navigation », leur âge présumé et « la chaîne d'URL consultées », mais sans les données à caractère personnel (DCP), indique le contrat. Omnicom n'a pas souhaité répondre à nos nombreuses demandes de commentaires.

Selon le contrat Omnicom, le « device ID » de chaque utilisateur est haché, ce qui signifie que la société qui achète les données ne devrait pas être en mesure d'identifier qui se cache exactement derrière chaque élément de navigation. Les produits de Jumpshot sont censés fournir des indications aux entreprises qui souhaitent savoir quels produits sont populaires ou quelles campagnes publicitaires sont efficaces.

Mais les données de Jumpshot ne sont peut-être pas totalement anonymes. Le manuel du produit interne indique que les ID de périphériques ne changent pas pour chaque utilisateur, « sauf si un utilisateur désinstalle et réinstalle complètement le logiciel de sécurité ». Plusieurs articles et études universitaires ont montré qu’il est possible de retrouver l’identité des personnes dites anonymes. En 2006, les journalistes du New York Times ont pu identifier une personne spécifique à partir d'un cache de données de recherche prétendument anonymes qu'AOL avait rendues publiques. Bien que les données testées fussent davantage axées sur les réseaux sociaux, que Jumpshot censure d’une certaine manière, une étude de l'université de Stanford de 2017 a montré qu'il était possible d'identifier des personnes à partir de données de navigation anonymes. « La désanonymisation s'est révélée être un processus très sujet aux échecs. Il y a tellement de façons dont elle peut mal tourner », explique Günes Acar, un chercheur en confidentialité qui étudie le suivi en ligne à grande échelle à la Katholieke Universiteit Leuven.

La désanonymisation devient une préoccupation majeure si l'on considère que l'éventuel utilisateur final des données Jumpshot peut les combiner avec ses propres données.

« La plupart des menaces posées par la désanonymisation, qui consiste à identifier des personnes, viennent de la capacité à fusionner les informations avec d'autres données », poursuit Acar. Un ensemble de données Jumpshot que nous avons obtenues montre chaque URL visitée avec la date précise et l’heure à la milliseconde près, ce qui peut permettre à une entreprise ayant sa propre base de données de suivre un client sur d'autres sites grâce aux données Jumpshot. « Il est presque impossible d’anonymiser les données, explique Eric Goldman, professeur à la faculté de droit de l'université de Santa Clara. Quand ils promettent de le faire, je ne les crois pas du tout. »

Nous avons posé la question à Avast qui nous a répondu par un communiqué : « Nous veillons à ce que Jumpshot n'acquière pas d'information d’identification personnelle, notamment le nom, l'adresse électronique ou encore les coordonnées des personnes utilisant notre logiciel gratuit. Les utilisateurs ont toujours eu la possibilité de refuser de partager leurs données avec Jumpshot. En juillet 2019, nous avions déjà commencé à mettre en place un choix explicite d’acceptation ou de refus pour tous les nouveaux téléchargements de notre logiciel, et nous invitons maintenant nos utilisateurs gratuits actuels à faire un choix d’acceptation ou de refus, un processus qui sera achevé en février 2020 », se défend la société, ajoutant qu’elle se conforme volontairement aux exigences du règlement général sur la protection des données (RGPD) et de la Loi sur la protection du consommateur de Californie (CCPA) pour l'ensemble de sa base d'utilisateurs mondiale. « Nous avons une longue expérience de la protection des appareils et des données des utilisateurs contre les logiciels malveillants. Nous comprenons et prenons au sérieux la responsabilité d'équilibrer la vie privée des utilisateurs avec l'utilisation nécessaire des données pour nos principaux produits de sécurité », ajoute la société.

Lorsque nos collègues de PCMag ont installé l’antivirus d'Avast pour la première fois ce mois-ci, le logiciel leur a demandé s'ils souhaitaient participer à la collecte de données. « Si vous le permettez, nous fournirons à notre filiale Jumpshot Inc. un ensemble de données anonymisées provenant de votre historique de navigation afin de permettre à Jumpshot d'analyser les tendances commerciales et de recueillir d'autres informations précieuses », indique la fenêtre pop-up, qui n’entre toutefois pas dans les détails sur la façon dont Jumphot utilise ces données de navigation. « Les données sont complètement anonymisées et agrégées, et ne peuvent être utilisées pour vous identifier ou vous cibler personnellement. Jumpshot peut partager des informations agrégées avec ses clients », ajoute la fenêtre pop-up.

Il y a quelques jours, la filiale d'Avast, AVG, a tweeté : « Vous souvenez-vous de la dernière fois où vous avez nettoyé votre historique de #navigation ? Sur le long terme, le stockage de votre historique occupe la mémoire de votre appareil et peut mettre en danger vos informations privées. »

VICE France est aussi sur Twitter, Instagram, Facebook et sur Flipboard.