Les données utilisateur d'Avast vendues à Omnicom, aux spécialistes du marketing et aux grandes technologies

Il a été découvert que le logiciel gratuit de cybersécurité, Avast, collecte des données sur les utilisateurs et que certaines de ces données ont été données à un tiers appelé Jumpshot, qui à son tour a signé des contrats avec d'autres sociétés et leur a vendu les données, ce qui comprendrait des sociétés de capital-risque, des spécialistes du marketing, des grandes technologies et une entreprise mondiale de médias connue sous le nom d'Omnicom.

La tenue basée en République tchèque a été mise au microscope dans le cadre d'une enquête conjointe de PCMag et Carte mère, qui a découvert qu'Avast collectait des données utilisateur allant des URL visitées, des recherches effectuées, des produits achetés et de l'interactivité des réseaux sociaux.

Avast avait affirmé avoir utilisé un algorithme pour «anonymiser» les utilisateurs, en supprimant de leurs données collectées tout e-mail, adresse IP, emplacement ou toute autre information d'identification personnelle. Cependant, l'article explique…

«PCMag et Motherboard ont pris connaissance des détails entourant la collecte de données auprès d'une source familière avec les produits Jumpshot. Et les experts en confidentialité avec lesquels nous nous sommes entretenus ont convenu que les informations d'horodatage, les identifiants d'appareil persistants et les URL collectées pouvaient être analysés pour révéler l'identité de quelqu'un. »

Cela peut ressembler à de la peur basée sur le complot, mais il s'avère que les préoccupations soulevées par PCMag et Motherboard ont également été partagées par un chercheur en confidentialité qui est parvenu à la même conclusion qu'eux: la combinaison de certains ensembles de données pourrait très bien révéler l'identité du utilisateur, même sans adresses e-mail, adresses IP ou données de localisation.

Cette supposition s'est avérée être un fait.

Certains journalistes ont trouvé un contrat que le partenaire d'Avast, Jumpshot, avait signé avec Omnicon. L'importance de ce contrat est que toutes les données collectées par Jumpshot auprès d'Avast étaient transmises à Omnicon.

Dans l'article, ils expliquent…

«[…] Mais en ce qui concerne un client particulier, Jumpshot semble avoir offert l'accès à tout. En décembre 2018, Omnicom Media Group, un important fournisseur de marketing, a signé un contrat pour recevoir ce qu'on appelle le «flux de tous les clics», ou chaque clic que Jumpshot recueille auprès des utilisateurs d'Avast. Normalement, le flux All Clicks est vendu sans ID d'appareil «pour se protéger contre la triangulation des informations personnelles identifiables», explique le manuel du produit de Jumpshot. Mais en ce qui concerne Omnicom, Jumpshot fournit le produit avec des ID de périphérique attachés à chaque clic, conformément au contrat.

 

"En outre, le contrat prévoit que Jumpshot fournisse la chaîne d'URL à chaque site visité, l'URL de référence, les horodatages jusqu'à la milliseconde, ainsi que l'âge et le sexe présumés de l'utilisateur, qui peuvent être déduits en fonction des sites sur lesquels la personne est en visite."

PCMag et Motherboard ont tenté de contacter Omnicom, mais la société n'a pas répondu à leurs demandes.

Il a également été découvert que diverses autres grandes entreprises technologiques étaient également des clients de Jumpshot, allant d'IBM, Microsoft et Google. IBM leur a dit qu'ils n'avaient «aucun dossier» de faire affaire avec Jumpshot, tandis que Microsoft a déclaré qu'ils n'avaient aucune relation «actuelle» avec Jumpshot. Google a choisi de ne pas répondre.

Apparemment, Jumpshot avait fait affaire avec un certain nombre de tenues dans un certain nombre de domaines, dont Nestlé Purina, Unilever, Intuit et GfK.

Avast, cependant, a répondu à certaines des questions de PCMag et de la carte mère, mais a choisi de ne pas répondre à toutes. Ils ont expliqué dans un communiqué…

«Nous avons complètement abandonné la pratique consistant à utiliser les données des extensions de navigateur à d'autres fins que le moteur de sécurité principal, y compris le partage avec Jumpshot», […]

 

«[…] Les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot. En juillet 2019, nous avions déjà commencé à implémenter un choix opt-in explicite pour tous les nouveaux téléchargements de notre AV (antivirus), et nous invitons maintenant également nos utilisateurs gratuits existants à faire un choix explicite, un processus qui sera terminé en Février 2020 »

Cependant, Avast a été pris la main dans le pot de cookies avant que le chercheur en sécurité Wladimir Palant n'ait découvert leur collecte de données sur les utilisateurs en octobre 2019, ce qui a provoqué temporairement Mozilla et Google désactivation du module complémentaire Avast en décembre jusqu'à ce que l'entreprise supprime le logiciel espion de collecte de données.

Comme indiqué dans l'article, la plupart des gens ne savaient pas non plus que leurs données étaient collectées dans le but d'être vendues lorsqu'ils ont accepté la politique de confidentialité opt-in d'Avast, car la plupart des gens n'arrêtent pas de lire le toute la politique de confidentialité pour recueillir ces informations. Pire encore, la plupart des politiques de confidentialité sont suffisamment vagues pour donner aux entreprises comme Avast une marge de manœuvre pour rejeter la faute sur Jumpshot, qui faisait tout le mélange et le déplacement des informations utilisateur pour les contrats premium.

Dans tous les cas, il est probablement préférable d'éviter Avast si vous ne voulez pas que vos données soient vendues à de grandes technologies, à des spécialistes du marketing ou à quelqu'un d'autre.

(Merci pour le conseil de nouvelles Mister Reland)

(Main image courtesy of Le Joe moyen)