L'entreprise Avast s'est retrouvée dans une vive controverse depuis l'automne dernier, à cause de la monétisation des habitudes de navigation de ses utilisateurs. Bien que le groupe a fait en sorte de les anonymiser, des enquêtes ultérieures ont montré que ce processus pouvait être inversé. Depuis, l'éditeur a fait machine arrière.

Avis de gros temps pour Avast. Le célèbre antivirus tchèque est depuis plusieurs mois au cœur d’une lourde controverse concernant la manière dont il collecte et monétise les habitudes de navigation de sa clientèle. Cette polémique a connu un rebond le 27 janvier avec la publication conjointe par Motherboard et PCMag d’une enquête critiquant un peu plus le business conduit par l’éditeur.

Les deux publications se montrent en effet particulièrement critiques sur les allégations d’Avast pour préserver la vie privée de ses utilisateurs. L’entreprise, déjà pointée du doigt en décembre, déclarait avoir mis en plus une procédure d’anonymisation des données de manière à éviter d’associer des activités en ligne à une personne en particulier. Mais dans les faits, c’est loin d’être totalement sûr.

avast
Les locaux de l’éditeur antivirus. // Source : Avast

« Avast recueille l’historique des navigateurs web des internautes sous prétexte que les données ont été ‘dé-identifiées’ […]. Mais ces données, qui sont vendues à des tiers, peuvent être reliées à la véritable identité des individus », prévient ainsi PCMag d’entrée de jeu, ce qui peut de fait compromettre le caractère privé, voire intime, de certaines requêtes en ligne.

Des experts cités par Motherboard confirment : « La dé-identification s’est révélée être un processus très sujet aux échecs. Il y a tellement de façons dont elle peut mal tourner », juge Günes Acar. « La plupart des menaces posées par la dé-anonymisation vient de la capacité à fusionner les informations avec d’autres données », ajoute-t-il. Eric Goldman enfonce le clou : « Il est quasi impossible de dé-identifier les données ».

Avast tente de calmer le jeu

La sortie de ces deux articles vient battre en brèche la sortie médiatique d’Ondrej Vlcek, le patron d’Avast, le 9 décembre, après les premières polémiques impliquant les extensions pour navigateur d’Avast et AVG (qui appartient aussi à l’éditeur tchèque). À l’époque, dans les colonnes de Forbes, l’intéressé avait assuré qu’il n’y avait ici aucun scandale lié à la vie privée de sa clientèle.

Signe du sérieux de l’affaire, Mozilla a retiré pas moins de quatre extensions (deux d’Avast et deux d’AVG) en guise de riposte, tout comme Opera. Google avait suivi par la suite, en mettant de côté trois extensions, après les signalements de Wladimir Palant, qui avait été à l’origine du déclenchement de l’affaire le 28 octobre 2019 dans un billet de blog dénonçant l’espionnage d’Avast Online Security et Avast Secure Browser.

Firefox bouclier
Mozilla a réagi en excluant temporairement les extensions litigieuses, le temps qu’elles soient rectifiées. // Source : Mozilla

Ondrej Vlcek a expliqué au magazine qu’effectivement, ses extensions pour navigateur web collectent les habitudes de navigation des internautes. Une fois cette étape faite, tout ce qui est susceptible de révéler l’identité d’un individu est retiré (ce peut être un nom dans une URL, comme dans le cas où il s’agit d’un lien pointant vers un profil Facebook), puis ce qui reste est envoyé sur les serveurs d’Avast.

Le travail d’analyse est ensuite accompli par une entreprise appelée Jumpshot, qui est détenue à 65 % par Avast. Les résultats de ces analyses sont ensuite vendus à des clients divers (les noms de Google, Microsoft, Pepsi, Sephora ou encore Yelp sont mentionnés parmi des clients passés ou potentiels). Selon Avast, il ne s’agit que d’un aperçu de la façon dont des «  cohortes d’internautes » utilisent le web.

« Nous n’autorisons absolument aucun annonceur ou tiers à obtenir un accès par l’intermédiaire d’Avast ou à des données qui permettraient au tiers de cibler cette personne en particulier », affirmait encore Ondrej Vlcek, avant que les enquêtes de janvier ne viennent remettre en cause ses affirmations. Et de déclarer que cette activité est en fait minime dans les affaires du groupe — environ 5 %.

Avast cesse la collecte

La polémique ouverte depuis décembre risque d’être difficile à passer pour Avast, car la société se retrouve dans une situation paradoxale : elle qui commercialise des solutions visant à protéger les internautes se retrouve dans une activité qui est susceptible de les exposer, cela même si elle prend des mesures pour que les données ne permettent pas de retrouver quelqu’un.

Force est toutefois de constater que malgré les assurances d’Ondrej Vlcek, il y avait bel et bien un problème pour le respect de la vie privée puisque, selon Motherboard et PCMag, Avast a cessé de transmettre à Jumpshot les données sur les habitudes de navigation que collectaient ses différentes extensions pour navigateur. Celles-ci sont d’ailleurs de nouveau proposées sur les boutiques d’applications des navigateurs.

Partager sur les réseaux sociaux