Selon une enquête conjointe de Carte mère et PCMag, la société à l’origine du populaire programme antivirus Avast vend des données utilisateur très sensibles aux grandes entreprises.
Les documents, d’une filiale du géant de l’antivirus Avast appelée Jumpshot, montrent que le programme antivirus Avast installé sur un ordinateur collecte des données et que Jumpshot les reconditionne dans plusieurs produits différents qui sont ensuite vendus aux grandes entreprises dont Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit entre autres multinationales.
L’un des produits les plus populaires de Jumpshot est «All Clicks Feed», qui permet de suivre avec une grande précision le comportement des utilisateurs, les clics et les déplacements sur les sites Web.
On estime qu’Avast compte 450 millions d’utilisateurs, et on estime que la société a vendu des données appartenant à environ 100 millions d’utilisateurs. Bien que les chercheurs n’aient pas pu le vérifier, Avast dit qu’il ne fournit à Jumpshot que les données de ceux qui ont donné leur autorisation.
Comment Avast collecte-t-il les données utilisateur qu’ils vendent?
Avast collecte des données auprès des utilisateurs qui s’inscrivent et les fournit ensuite à Jumpshot, mais plusieurs utilisateurs d’Avast ont déclaré qu’ils ne savaient pas qu’Avast vendait des données de navigation, ce qui soulève la question de savoir s’ils savaient vraiment à quoi ils consentaient.
Selon les informations auxquelles Motherboard et PCMag avaient accès, Avast a vendu des données comprenant des recherches Google, des recherches de lieux et de coordonnées GPS sur Google Maps, des personnes qui visitent les pages LinkedIn de l’entreprise, des vidéos YouTube visionnées et des personnes qui visitent des sites Web pornographiques. Il est possible de déterminer à partir des données collectées la date et l’heure auxquelles l’utilisateur anonyme a visité YouPorn et PornHub, et dans certains cas le terme de recherche entré sur le site pornographique et la vidéo spécifique qu’il a vue.
Bien que les informations personnelles telles que les noms d’utilisateurs ne soient pas incluses dans les données, elles contiennent toujours de nombreuses données de navigation spécifiques, et les experts disent qu’il pourrait être possible de décourager certains utilisateurs.
Après avoir découvert qu’il collectait des informations via des extensions de navigateur, Avast a décidé de le faire directement via son logiciel antivirus. L’entreprise a commencé à demander aux utilisateurs actuels de sa solution antivirus gratuite d’opter pour la collecte de données. Et dans la section d’aide du produit, il est expliqué que, si un utilisateur s’enregistre, cet appareil devient une partie du panneau Jumpshot et toute l’activité Internet basée sur le navigateur sera transférée vers Jumpshot, y compris les URL visitées dans l’ordre.
