Déjà pris en flagrant délit de vente de données clients à des entreprises l’an dernier, Avast et sa filiale AVG récidivent cette fois en utilisant leurs programmes antivirus gratuits, quand les utilisateurs acceptent la collecte de données. C’est ce qu’affirme un article publié conjointement hier par Vice/Motherboard et PCMag. Celui-ci s'appuie sur les données du créateur d'Adblock Plus, Wladimir Palant, qui a constaté, en octobre 2019, que l'extension de sécurité en ligne d'Avast, ainsi que le navigateur sécurisé d'AVG, espionnaient les utilisateurs et récoltaient leurs données.

Wladimir Palant affirmait que les informations collectées – parmi lesquels l’ID utilisateur unique, la page web visitée et un historique des visites précédentes de la page, plus d'autres informations – ont peut-être été livrées à des tiers, citant même Jumpshot comme destinataire possible. Avast a acquis Jumpshot en 2013, et, d’après une déclaration figurant sur le site web de l’entreprise, il est précisé qu'elle « fournit des informations sur la navigation des consommateurs en mesurant chaque recherche, clic et achat dans 1 600 catégories de plus de 150 sites, dont Amazon, Google, Netflix et Walmart ». À l'époque, la nouvelle avait incité les fournisseurs de navigateurs comme Google, à supprimer les deux mouchards de sa boutique en ligne, même si les extensions sont réapparues depuis.

Une collecte via les antivirus gratuits ?

Avast a déclaré à Motherboard/PCMag que les données collectées par les extensions du navigateur Avast ne sont plus livrées à Jumpshot. Mais d'autres sources affirment que l’éditeur collecte ces mêmes informations à partir des programmes antivirus gratuits Avast et AVG. Selon ces mêmes sources, les données sont ensuite transmises à Jumpshot, et de là, à ses entreprises clientes. « Selon un document interne, alors que depuis plusieurs mois Avast collectait des données en utilisant les extensions de son navigateur pour les envoyer à Jumpshot, l’entreprise a commencé à demander depuis la semaine dernière à ses clients actuels de l'antivirus gratuit d'accepter la collecte de données », a écrit Motherboard.

Dans un communiqué, Avast avait déclaré avoir « agi rapidement pour répondre aux normes de stockage des navigateurs » et, en décembre, le fournisseur de l’antivirus a complètement cessé d'utiliser les données des extensions de navigateur à d'autres fins que l'amélioration du moteur de sécurité principal. « Nous garantissons que Jumpshot n'acquiert aucunes informations personnelles, comme le nom, l'adresse électronique ou les coordonnées », a affirmé Avas dans son communiqué qui fait état d’options d’opt-in et d’opt-out disponibles. « Les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot », affirmait encore le communiqué. « En juillet 2019, nous avions déjà commencé à mettre en place un choix d’acceptation explicite pour tous les nouveaux téléchargements de notre logiciel antivirus, et nous incitons désormais nos utilisateurs gratuits actuels à accepter ou à refuser la collecte de données, un processus qui sera achevé en février 2020 ».

Une conformité réglementaire, RGPD et loi Californienne

Dans son communiqué, Avast a également cherché à minimiser les préoccupations suscitées par ses pratiques. « Nous avons une longue expérience de la protection des appareils et des données des utilisateurs contre les logiciels malveillants, et nous comprenons et nous nous efforçons de maintenir avec sérieux un bon équilibre entre la confidentialité des utilisateurs et l’usage nécessaire des données pour nos produits de sécurité de base », a ajouté Avast. La société a déclaré qu'elle se conformait au RGPD européen et au California Consumer Privacy, la loi californienne sur la protection de la vie privée des consommateurs, et elle a renvoyé les utilisateurs à sa politique de confidentialité pour plus d'informations.

Selon cette politique, Avast « s’autorise à utiliser vos données personnelles pour créer un ensemble de données anonymisées et de le livrer à Jumpshot pour développer des produits et services d'analyse pouvant répondre aux tendances en cours ». Lors de l'installation du logiciel antivirus gratuit Avast, les utilisateurs ont la possibilité de décocher pratiquement tous les modules optionnels que le logiciel installe : stockage du mot de passe, nettoyage du disque, et plus encore. L’installation de l'extension du navigateur sécurisé Avast et celle de l'extension de navigateur SafePrice sont cochées par défaut. Celles-ci peuvent être décochées et ne pas être installées.

Par curiosité, PCWorld a décoché toutes les options. Le logiciel Avast a signalé que le processus d'installation était terminé, et Windows Security a signalé que le logiciel Avast était installé. Cependant, notre confrère n’a pas pu ouvrir le logiciel Avast lui-même, ni son tableau de bord. Il a contacté l'entreprise pour avoir plus d'informations à ce sujet. À suivre, donc… Et selon le vieil adage : « Quand l’utilisateur ne paie pas pour le produit, il est lui-même le produit ». Il semble que ce soit le cas, pour l’instant, avec le logiciel antivirus d'Avast.