...
Astuces de vie, conseils utiles, recommandations. Articles pour hommes et femmes. Nous écrivons sur la technologie et sur tout ce qui est intéressant.
Des ordinateursHistoires

Marché secret Avast. Comment les antivirus vendent votre historique de navigation

10

Une filiale du développeur d’antivirus Avast a vendu chaque terme de recherche. Chaque clic. chaque achat. de chaque site. Parmi ses clients figuraient Google, Microsoft, Pepsi et d’autres.

Cet épisode a eu lieu il y a un an. Suite à une enquête, Avast a déclaré qu’il cesserait de collecter des données pour Jumpshot et arrêterait de toute urgence toutes les transactions avec lui. Nous avons traduit cette histoire passionnante dans son intégralité et vous invitons à lire et à tirer vos propres conclusions.

Utilisé par des millions de personnes dans le monde, l’antivirus Avast vend les données sensibles de ses utilisateurs à de grandes entreprises, selon une enquête conjointe de Motherboard et PCMag . Des documents internes divulgués prouvent le commerce de données hautement sensibles, y compris l’historique du navigateur des utilisateurs.

Des documents d’une filiale d’ Avast appelée Jumpshot mettent en lumière le commerce secret et les chaînes d’approvisionnement des historiques de navigation des utilisateurs. Ils montrent qu’après avoir installé Avast sur son ordinateur, il commence à collecter des données et à les transférer vers Jumpshot, après quoi elles sont vendues à de nombreuses entreprises mondiales telles que Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit et autres.. . Certaines de ces entreprises paient des millions de dollars pour recevoir des données sur chaque clic que vous effectuez, ce qui leur permet d’analyser votre comportement en ligne.

Avast a une base d’utilisateurs d’ environ 435 millions d’ utilisateurs et 100 millions d’ appareils. Ils ont tous signé un accord d’utilisation pour collecter des données, mais certains utilisateurs ont déclaré à Motherboard et à PCMag qu’ils ne savaient pas quelles données étaient collectées, ou qu’elles étaient collectées du tout. La question se pose, à quel point les utilisateurs étaient-ils bien informés ?

De quel type de données parle-t-on? À propos des recherches Google, de la navigation sur le site Web, des coordonnées GPS de Google Maps, des visites sur LinkedIn, YouTube et des sites pornographiques. Bien que ces données ne contiennent aucun nom, les utilisateurs peuvent être facilement identifiés sur leur base.

Jumpshot a affirmé en juillet qu’il divulguait les données pour permettre aux spécialistes du marketing de mieux comprendre le marché en ligne. Jumpshot a déjà répertorié publiquement certains de ses clients comme Expedia, IBM, Intuit, TurboTax, Loreal et Home Depot. Les employés ont été avisés de ne pas parler publiquement de la relation de Jumpshot avec ces entreprises.

Jusqu’à récemment, Avast collectait des données à l’aide d’ une extension de navigateur créée pour restreindre l’accès aux sites Web malveillants. Vladimir Palant, chercheur en cybersécurité et créateur d’AdBlock Plus, a publié un article de blog à ce sujet. Un peu plus tard, Mozilla, Opera et Google Chrome ont supprimé cette extension de leurs navigateurs. Avast a précédemment expliqué cette collecte et ce partage de données dans un blog et un forum en 2015. Depuis lors, Avast a promis de cesser d’envoyer les données de navigation collectées par ces extensions à Jumpshot, a déclaré Avast dans un communiqué à Motherboard et PCMag.

Cependant, la collecte de données s’est poursuivie. Si Avast avait l’habitude de le faire via une extension de navigateur, il a maintenant commencé à le faire via son antivirus

Marché secret Avast. Comment les antivirus vendent votre historique de navigation

Motherboard et PCMag ont contacté plus d’une vingtaine d’entreprises mentionnées dans des documents internes. Peu ont répondu aux questions sur ce qu’ils font avec les données basées sur l’historique de recherche des utilisateurs d’Avast.

« Parfois, nous utilisons des informations provenant de fournisseurs tiers pour améliorer nos activités, nos produits et nos services. Nous exigeons que ces fournisseurs disposent des droits appropriés pour partager ces informations avec nous. Dans ce cas, nous recevons des données utilisateur anonymes qui ne peuvent pas être utilisées pour identifier des clients individuels », a écrit un porte-parole de Home Depot dans un communiqué envoyé par courrier électronique.

Microsoft a refusé de commenter les détails de la raison pour laquelle il a acheté des données à Jumpshot, mais a déclaré qu’il n’avait actuellement aucune relation avec la société. Southwest Airlines a déclaré avoir discuté de la possibilité de travailler avec Jumpshot, mais les compagnies ne sont pas parvenues à un accord. IBM a déclaré que ce n’était pas un client, et Altria a déclaré que cela ne fonctionnait pas non plus avec Jumpshot, bien qu’il n’ait pas précisé si c’était le cas auparavant. Sephora a déclaré que cela ne fonctionnait pas avec Jumpshot. Google n’a jamais répondu à la demande.

Sur son site Web et dans des communiqués de presse, Jumpshot nomme Pepsi et les géants du conseil Bain & Company et McKinsey comme clients. Il énumère également quelques exemples d’utilisation des données d’historique de navigation Web. L’ éditeur et géant des médias numériques Condé Nast, par exemple, a utilisé les produits de Jumpshot pour voir si la publicité de l’entreprise entraînait plus de ventes sur Amazon et ailleurs.

Flux de tous les clics

Ce n’est pas tout, il y avait un autre produit Jumpshot appelé All Click Feed. Il vous permet d’acheter des informations sur tous les clics enregistrés par Jumpshot sur un domaine spécifique, comme Amazon.com, Walmart.com, Target.com, BestBuy.com ou Ebay.com.

Les données Jumpshot pourraient montrer comment une personne avec Avast installé sur son ordinateur a recherché un produit sur Google, a cliqué sur un lien vers Amazon, puis a éventuellement ajouté l’article à son panier sur un autre site Web avant d’effectuer un achat.

Selon une copie du contrat Jumpshot, l’une des sociétés qui a acheté All Clicks Feed est la société de marketing new-yorkaise Omnicom Media Group . Jumpshot a permis à Omnicom d’accéder à tous les clics d’utilisateurs dans 14 pays différents, dont les États-Unis, l’Angleterre, le Canada, l’Australie et la Nouvelle-Zélande. Les données comprenaient également le sexe estimé des utilisateurs, leur âge estimé et une "chaîne d’URL complète", mais avec les informations personnelles supprimées, indique le contrat.

Selon le contrat avec Omnicom, "l’identifiant de l’appareil" de chaque utilisateur est haché, ce qui signifie que l’entreprise qui achète les données n’a pas besoin d’être en mesure d’identifier qui se cache exactement derrière chaque vue. Au lieu de cela, les produits Jumpshot devraient aider les entreprises à découvrir quels produits sont particulièrement populaires ou à quel point leur campagne publicitaire est efficace.

Mais les données Jumpshot peuvent ne pas être complètement anonymes. Le guide produit interne indique que les ID de périphérique ne changent pas par utilisateur, sauf si l’utilisateur désinstalle et réinstalle complètement le logiciel de sécurité. De nombreux articles et études universitaires ont montré comment l’identité d’une personne peut être connue à l’aide de données supposées anonymes. Cela a été confirmé par des journalistes du New York Times en 2006 et par des chercheurs de l’Université de Stanford en 2017.

La désanonymisation devient un problème beaucoup plus important si l’on considère que les utilisateurs finaux des données Jumpshot peuvent les combiner avec leurs propres données.

"La plupart des menaces posées par la désanonymisation proviennent de la capacité à combiner des informations avec d’autres données."

Un horodatage précis à la milliseconde pourrait permettre à une entreprise disposant de sa propre base de données clients de voir un utilisateur visiter son propre site, puis de le suivre sur d’autres sites à l’aide de Jumpshot.

"Il est presque impossible de dépersonnaliser les données", a déclaré Eric Goldman, professeur à la faculté de droit de l’Université de Santa Clara.

Les journalistes de Motherboard et PCMag ont posé à Avast une série de questions détaillées sur la manière dont il protège l’anonymat des utilisateurs, ainsi que des détails sur certains des contrats de l’entreprise. Avast n’a pas répondu à la plupart des questions, mais a écrit dans un communiqué: "Grâce à notre approche, nous veillons à ce que Jumpshot ne reçoive aucune information d’identification, y compris le nom, les adresses e-mail ou les coordonnées, des personnes utilisant notre populaire logiciel antivirus gratuit".

"Nous avons une vaste expérience dans la protection des appareils et des données des utilisateurs contre les logiciels malveillants, et nous comprenons et prenons au sérieux la responsabilité d’équilibrer la confidentialité des utilisateurs avec l’utilisation nécessaire des données", indique le communiqué.

La société a également déclaré qu’elle se conformait au California Consumer Privacy Act (CCPA) et au Règlement européen sur la protection des données (GDPR) pour l’ensemble de sa base d’utilisateurs.

Lorsque l’éditeur PCMag a installé pour la première fois le produit antivirus Avast, le programme lui a en fait demandé s’il souhaitait participer à la collecte de données.

« Si vous donnez votre permission, nous accorderons à notre filiale Jumpshot Inc. collecte de données anonymisées obtenues à partir de votre historique de navigation afin de permettre à Jumpshot d’analyser les marchés et les tendances commerciales et de collecter d’autres informations précieuses », cependant, la fenêtre contextuelle n’a rien dit sur la façon dont Jumpshot utilise ensuite ces données.

UPD : Réponse officielle d’Avast

« Avast a fermé Jumpshot en janvier 2020, mettant ainsi fin aux transferts de données. Notre objectif est de rendre Internet plus sûr et de protéger les informations personnelles des utilisateurs. Ainsi, en 2020, nous avons pris des mesures pour améliorer la protection des données, en embauchant un responsable de la protection des données qui continue de piloter notre stratégie de protection des données et de partager des expériences avec des organisations telles que TOR et le Future of Privacy Forum. Notre politique de confidentialité a été certifiée par TRUSTe. À l’avenir, nous continuerons à prendre des mesures pour garantir la confidentialité des utilisateurs.

Avec l’aimable autorisation de Vice et PCMag
Image de couverture: Monika Kovacs

You might also like More from author

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More