Comment Avast, le plus populaire des anti-virus gratuits, vendait vos données aux marques

Le logiciel antivirus gratuit Avast vendait les données de navigation de ses utilisateurs
High-tech

SÉCURITÉ - Sans forcément le savoir, des millions d'utilisateurs d'Avast, l'anti-virus gratuit, le laissaient partager leurs données de navigation internet avec des sites de commerce en ligne et des marques. Une situation intenable à laquelle l'entreprise vient - précipitamment - de mettre fin.

"Quand c'est gratuit, c'est toi le produit." La maxime, souvent utilisée à tort et à travers, a quand même une vertu quand elle nous pousse à réfléchir à ce que la gratuité implique. Sur les sites web, sur les applications de votre smartphone, la gratuité tient souvent au modèle publicitaire.

Sur votre ordinateur, la gratuité existait même avant le web. Nombre de logiciels existent tant en version gratuite qu'en version payante. La version gratuite est fonctionnelle, mais assez limitée - dans ses fonctions ou dans le temps. Objectif : vous encourager à passer à la version payante. On appelle cela le freemium, mi-gratuit, mi-premium. La gratuité permet ainsi d'essayer avant d'acheter ou de se contenter de la version de base. Pour l'éditeur, le mot "gratuit" est un puissant levier marketing. Avast est de ceux-là.

435 millions d'utilisateurs

L'anti-virus, qui existe depuis une trentaine d'années, est devenu le plus populaire du genre. Il existe dans 46 langues et compterait 435 millions d'utilisateurs dans le monde. Un carton plein pour l'éditeur tchèque, qui se rémunère, lui, sur les versions payantes et sur des solutions de sécurité plus pointues vendues aux entreprises. Mais pas seulement... Ce que ne réalisaient que rarement les utilisateurs d'Avast, c'est que l'anti-virus avait une autre fonction : quand il surveillait votre navigation sur internet, ce n'était pas seulement pour vous protéger des sites malveillants.

Le lièvre a été levé par une enquête commune de nos confrères de PC Mag et Vice News. À côté de ses fonctions de protection, le logiciel compilait toutes les informations possibles sur votre navigation : quels sites vous visitez, sur quels liens, quels sites, quelles pubs vous cliquez, votre localisation, une estimation de votre sexe, votre âge. Autant d'informations qu'une filiale d'Avast, Jumpshot, proposait à la vente à des marques ou d'autres grands sites pour leur fournir des  données de navigation précises. Jumpshot avait ainsi dans sa besace des données provenant de plus d'une centaine de millions d'ordinateurs et de smartphones. Parmi ses clients, Microsoft, Google, Pepsi, mais aussi des cabinet d'analystes comme McKinsey, des éditeurs de presse comme Conde Nast. Pour quelques millions de dollars, on pouvait aussi lui acheter la totale, chaque recherche, chaque clic de l'internaute. Un service qu'aurait acquis Omnicom, le géant de la communication et du marketing.

Lire aussi

Une mine d'or d'informations, pour des entreprises qui avaient soudain accès non seulement aux détails de navigation sur leurs propres sites, mais aussi sur ceux de leurs concurrents. Pour sa défense, la filiale d'Avast explique que ces données sont anonymisées, qu'aucun détail identifiant l'internaute n'est joint aux informations divulguées à ses clients. Une excuse qui ne tient pas longtemps. Comme le relève l'enquête de PCMag, il serait aisé pour un des sites de relier les informations de navigation à celles qu'elle détient déjà, pour mettre un nom sur ces données anonymes, et utiliser le reste de vos infos de navigation pour mieux cibler ses offres ou copier celles des concurrents que vous fréquentez déjà.

Autre défense : l'existence de ce partage de données n'était pas un secret. Et c'est vrai, mais avec un gros bémol. Pour qu'elle soit activée, il aura fallu que l'utilisateur valide l'option de partage de ses données qui lui a été proposée à l'installation du logiciel ou plus tard. Mais entre ceux qui ont validé machinalement et tous ceux qui ne sont pas allés lire les détails précis de ce qu'ils allaient partager, rares sont apparemment les utilisateurs d'Avast qui comprenaient vraiment ce que leur coûtait la gratuité du logiciel.

En vidéo

Internet : pourquoi vos données personnelles sont-elles si précieuses ?

Perseverare diabolicum

En fait, ce n'est pas la première fois qu'Avast et Jumpstart se font prendre les mains dans le pot de confiture. Il y a quelques années, Avast avait dû retirer du marché des extensions pour navigateur web qui faisaient exactement la même chose, sous couvert de protection de votre navigation internet. L'entreprise avait donc juste déplacé la fonction dans l'antivirus lui-même, en toute discrétion. Une situation intenable, surtout pour un logiciel gratuit qui ne manque pas de concurrents. Dans une note de blog publiée cet après-midi, le PDG d'Avast, Ondrej Vlcek, annonce qu'il va mettre fin immédiatement au commerce de ces données.

La protection des personnes est la priorité absolue d'Avast et doit être intégrée dans tout ce que nous faisons dans notre entreprise et dans nos produits. L'opposé est inacceptable.- Ondrej Vlcek, PDG d'Avast

Si l'engagement est écrit noir sur blanc et si le communiqué veut faire amende honorable, les explications sont souvent un peu surprenantes. Quand il explique que Jumpshot avait été lancé à une époque "où il devenait de plus en plus évident que la cybersécurité allait être un jeu de big data", la confusion entre données à protéger et données de navigation est totale. Avast lui "va fermer progressivement toutes les activités" de sa filiale Jumpstart, pour redonner à ses utilisateurs de la confiance dans un logiciel gratuit, mais sans coûts cachés. 

Sur le même sujet

Et aussi

Lire et commenter

Alertes

Recevez les alertes infos pour les sujets qui vous intéressent