L'application antivirus d'Avast vend «chaque recherche», «chaque clic», «chaque achat sur chaque site que vous visitez». Les acheteurs incluent Home Depot, Google, Microsoft, Pepsi et McKinsey.
(publié avec des abréviations)
Utilisé par des centaines de millions de personnes dans le monde, un programme antivirus vend des données de navigation Web personnelles à de nombreuses entreprises parmi les plus importantes du monde. Ceci est démontré par une enquête conjointe des portails Motherboard et PCMag. Le matériel est basé sur des documents d'entreprise "divulgués" qui prouvent que la société propriétaire de l'antivirus vend des données hautement confidentielles.
Les documents, propriété de Jumpshot, une filiale du géant de l'antivirus Avast, jettent un nouvel éclairage sur l'histoire cachée de la vente de données personnelles sur Internet. L'antivirus Avast installé sur l'ordinateur d'une personne collecte les données et Jumpshot les «reconditionne» en divers produits, qui sont ensuite vendus à de nombreuses entreprises parmi les plus importantes du monde. La liste de courses comprend des géants tels que Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit et bien d'autres. Certains clients ont payé des millions de dollars pour des produits qui incluent un «canal tout-clic», qui peut suivre le comportement des utilisateurs, les clics et la navigation sur le site Web avec une grande précision.
Avast prétend avoir plus de 435 millions d'utilisateurs actifs par mois et Jumpshot collecte des données à partir de 100 millions d'appareils. Avast collecte les données des utilisateurs, puis les soumet à Jumpshot, mais plusieurs utilisateurs d'Avast ont déclaré à Motherboard qu'ils ne savaient pas que leurs données étaient partagées avec des tiers.
Selon Motherboard et PCMag, ces données personnelles comprenaient des recherches Google, des emplacements Google Maps et des coordonnées GPS, des pages LinkedIn, des vidéos YouTube privées et des informations sur les sites pornographiques visités. En utilisant le pool de données collectées, il est possible de déterminer quand un utilisateur anonyme a visité YouPorn et PornHub, et dans certains cas même des recherches et des vidéos spécifiques regardées.
Bien que les ensembles de données n'incluent pas d'informations personnelles telles que les noms d'utilisateur, ils contiennent encore beaucoup de données spécifiques, et les experts disent qu'il n'est pas si difficile de désanonymiser une personne en particulier qui les utilise.
Dans un communiqué de presse publié en juillet, Jumpshot prétend être «la seule entreprise à révéler un certain nombre de secrets» et s'engage à «fournir aux spécialistes du marketing une meilleure compréhension de l'activité en ligne des clients». «Ils sont très détaillés et d'un grand intérêt pour les acheteurs car ils correspondent au niveau de l'appareil avec un horodatage», a commenté la source de Motherboard, citant les spécificités et la sensibilité des données vendues.
Vidéo promotionelle:
Jusqu'à récemment, Avast collectait des données de trafic auprès des clients qui installaient un plug-in de navigateur développé par la société pour alerter les utilisateurs des sites Web suspects. Le chercheur en sécurité et créateur d'AdBlock Plus, Vladimir Palant, a publié un article de blog en octobre affirmant qu'Avast collecte les données des utilisateurs à l'aide de ce plugin. Peu de temps après, les fabricants de navigateurs Mozilla, Opera et Google ont supprimé les extensions Avast de leurs magasins respectifs. Avast a précédemment expliqué cette collecte et ce partage de données dans un blog et un message de forum en 2015. Depuis lors, Avast aurait cessé d'envoyer des données de navigation collectées par ces extensions.
Cependant, la collecte des données se poursuit, indiquent la source et les documents. Au lieu de collecter des informations à l'aide d'un logiciel connecté au navigateur, Avast le fait en utilisant l'antivirus lui-même. La semaine dernière, des mois après avoir été découvert en utilisant ses extensions de navigateur pour envoyer des données à Jumpshot, Avast a commencé à demander à ses clients antivirus d'autoriser la collecte de données. «Si les utilisateurs sont d'accord, l'appareil commence à enregistrer toutes les activités en ligne du client», indique le manuel produit interne.
Motherboard et PCMag ont contacté plus de deux douzaines d'entreprises mentionnées dans les dépôts internes. Peu de gens ont répondu aux questions sur ce qu'ils font des données en fonction de l'historique de navigation des utilisateurs d'Avast.
«Nous utilisons parfois des informations provenant de fournisseurs tiers pour nous aider à améliorer nos activités, nos produits et nos services. Nous exigeons que ces fournisseurs aient les droits appropriés pour nous fournir ces informations. Dans ce cas, nous recevons des données d'audience anonymes qui ne peuvent pas être utilisées pour identifier des clients individuels », a déclaré un porte-parole de Home Depot par e-mail.
Microsoft a refusé de commenter les détails de l'acquisition de produits auprès de Jumpshot, mais a déclaré qu'il n'avait pas de relation continue avec la société. Un porte-parole de Yelp a écrit dans un e-mail: «En 2018, dans le cadre d'une demande d'informations antitrust, l'équipe de Yelp a été invitée à évaluer l'impact de Google sur le marché des moteurs de recherche locaux. Jumpshot a été utilisé à la fois."
Southwest Airlines a déclaré avoir discuté d'un partenariat avec Jumpshot mais n'a pas conclu d'accord avec la compagnie. IBM a déclaré que cela ne fonctionnait pas avec Jumpshot, et Altria a déclaré qu'il ne fonctionnait pas avec Jumpshot maintenant, bien qu'il n'ait pas indiqué si c'était le cas auparavant. Sephora a déclaré que cela ne fonctionne pas avec Jumpshot. Google n'a pas répondu à une demande de commentaire.
Sur son site Internet et dans ses communiqués de presse, Jumpshot nomme Pepsi ainsi que les géants du conseil Bain & Company et McKinsey comme clients.
En plus d'Expedia, d'Intuit et de Loreal, d'autres sociétés qui ne figurent pas encore dans les annonces publiques de Jumpshot incluent la société de café Keurig, YouTube vidIQ et Hitwise, une société d'études de consommation. Aucune de ces sociétés n'a répondu à une demande de commentaires.
Sur son site Web, Jumpshot répertorie certains des cas d'utilisation précédents de ses données. Par exemple, Condé Nast a utilisé les produits Jumpshot pour voir si la publicité d'une entreprise de médias conduisait à des achats sur Amazon et ailleurs. Condé Nast n'a pas répondu à une demande de commentaire.
Jumpshot vend divers produits basés sur les données collectées par le logiciel antivirus Avast installé sur les ordinateurs des utilisateurs. Les clients du secteur de la finance institutionnelle achètent souvent des canaux de 10000 domaines que les utilisateurs d'Avast visitent pour essayer de repérer les tendances, indique le guide des produits.
Un autre produit Jumpshot est le soi-disant "All Click Feed". Cela permet au client d'acheter des informations sur tous les clics que Jumpshot a vus sur un domaine spécifique, comme Amazon.com, Walmart.com, Target.com, BestBuy.com ou Ebay.com.
Dans un tweet publié le mois dernier dans le but d'attirer de nouveaux clients, Jumpshot a noté qu'il recueille «Chaque recherche. Chaque clic. Informations sur chaque achat sur chaque site."
Les données Jumpshot peuvent montrer à quelqu'un avec Avast installé sur son ordinateur googler un produit, cliquer sur un lien menant à Amazon, puis éventuellement ajouter l'article à son panier sur un autre site Web avant de finalement, achetez un produit.
L'une des sociétés qui a acquis All Clicks est la société de marketing Omnicom Media Group, basée à New York. Dans le cadre de ce contrat, Omnicom a payé Jumpshot 2075000 $ pour l'accès aux données en 2019. L'accord comprenait également un autre produit appelé Insight Feed pour 20 domaines différents. Les frais de données en 2020 puis en 2021 sont indiqués respectivement à 2225000 dollars et 2275000 dollars, indique le document.
Jumpshot a permis à Omnicom d'accéder à tous les canaux de clic de 14 pays différents, dont les États-Unis, l'Angleterre, le Canada, l'Australie et la Nouvelle-Zélande. Le produit inclut également le sexe prévu des utilisateurs «en fonction du comportement de navigation», leur âge estimé et la «chaîne URL entière», mais les informations personnelles identifiables (PII) sont supprimées.
Omnicom n'a pas répondu à plusieurs demandes de commentaires.
Par contrat, «l'identifiant d'appareil» de chaque utilisateur est haché, ce qui signifie que l'entreprise qui achète les données n'a pas à être en mesure de déterminer qui est exactement derrière chaque vue. Au lieu de cela, les produits Jumpshot sont censés aider les entreprises à comprendre quels produits sont particulièrement populaires ou à quel point une campagne publicitaire est efficace.
Mais les données Jumpshot ne peuvent pas être complètement anonymes. Le manuel interne du produit indique que les ID de périphérique ne changent pas pour chaque utilisateur «à moins que l'utilisateur ne désinstalle et réinstalle complètement le logiciel de sécurité». De nombreux articles et études scientifiques ont montré qu'il est tout à fait possible d'exposer des personnes en utilisant des données dites anonymes. En 2006, les journalistes du New York Times ont pu identifier une personne spécifique à partir d'une cache de données de recherche prétendument anonymes publiées par AOL. Alors que les données vérifiées étaient davantage axées sur les liens de médias sociaux que Jumpshot a édités, une étude de 2017 de l'Université de Stanford a révélé qu'il était possible d'identifier des personnes à partir de données anonymes en ligne.
Motherboard et PCMag ont posé à Avast un certain nombre de questions détaillées sur la façon dont il protège l'anonymat des utilisateurs, et ont également demandé des détails sur certains contrats de l'entreprise. Avast n'a pas répondu à la plupart des questions, mais a publié une déclaration: «Grâce à notre approche, nous nous assurons que Jumpshot ne reçoive pas d'informations personnellement identifiables, y compris le nom, l'adresse e-mail ou les coordonnées des personnes utilisant notre logiciel antivirus gratuit populaire.»
«Les utilisateurs ont toujours eu la possibilité de refuser de communiquer avec Jumpshot. Depuis juillet 2019, nous avons déjà commencé à implémenter des choix explicites pour tous les nouveaux téléchargements de notre antivirus, et nous demandons désormais également le consentement de nos utilisateurs gratuits existants - un processus qui sera achevé en février 2020 », a déclaré un porte-parole d'Avast, ajoutant que la société est conforme au California Consumer Protection Act (CCPA) et au General European Data Protection Regulation (GDPR) pour l'ensemble de sa base d'utilisateurs mondiale.
«Nous avons une longue histoire de protection des appareils et des données des utilisateurs contre les logiciels malveillants, et nous comprenons et prenons au sérieux la responsabilité d'équilibrer la confidentialité des utilisateurs avec l'utilisation nécessaire des données», indique le communiqué.
Lorsqu'un journaliste PCMag a installé pour la première fois le produit antivirus d'Avast ce mois-ci, le programme a demandé s'il souhaitait participer à la collecte de données.
«Si vous le souhaitez, nous fournirons à notre filiale Jumpshot Inc. un ensemble de données dédié et anonymisé dérivé de votre historique de navigation afin que Jumpshot puisse analyser les marchés et les tendances commerciales et collecter d'autres informations précieuses », indique le message. Cependant, la fenêtre contextuelle ne détaille pas exactement comment Jumpshot utilise ces données.
«Les informations sont complètement anonymisées et agrégées, elles ne peuvent pas être utilisées pour l'identification personnelle. Jumpshot peut partager des informations agrégées avec ses clients », a ajouté une fenêtre contextuelle.
Mise à jour: Suite à la publication de cette enquête, Avast a annoncé qu'elle suspendait la collecte de données à l'aide de Jumpshot.
Par Joseph Cox
