Avast a ordonné de cesser de vendre les données de navigation de ses applications de confidentialité de navigation

Avast, un nom connu pour ses recherches en matière de sécurité et ses applications antivirus, propose depuis longtemps des extensions Chrome, des applications mobiles et d’autres outils visant à accroître la confidentialité.

Les applications d’Avast « bloqueraient les cookies de suivi ennuyeux qui collectent des données sur vos activités de navigation » et empêcheraient les services Web de « suivre votre activité en ligne ». Au plus profond de sa politique de confidentialité, Avast a déclaré que les informations collectées seraient « anonymes et globales ». Dans sa rhétorique la plus féroce, le logiciel de bureau d’Avast affirmait qu’il empêcherait « les pirates informatiques de gagner de l’argent grâce à vos recherches ».

Tout ce langage a été proposé alors qu’Avast collectait les informations du navigateur des utilisateurs de 2014 à 2020, puis les vendait à plus de 100 autres sociétés par l’intermédiaire d’ une entité aujourd’hui fermée connue sous le nom de Jumpshot , selon la Federal Trade Commission. En vertu d’une récente proposition d’ordonnance de la FTC (PDF), Avast doit payer 16,5 millions de dollars, qui « devraient être utilisés pour offrir réparation aux consommateurs », selon la FTC . Il sera également interdit à Avast de vendre de futures données de navigation, devra obtenir un consentement exprès pour la collecte future de données, informer les clients des ventes de données antérieures et mettre en œuvre un « programme complet de confidentialité » pour remédier aux comportements antérieurs.

Contacté pour commenter, Avast a fourni une déclaration faisant état de la fermeture de Jumpshot par la société début 2020. « Nous nous engageons dans notre mission de protéger et d’autonomiser la vie numérique des gens. Bien que nous ne soyons pas d’accord avec les allégations et la caractérisation des faits de la FTC, nous sommes heureux de résoudre ce problème et sommes impatients de continuer à servir nos millions de clients à travers le monde », indique le communiqué.

Les données étaient loin d’être anonymes

La plainte de la FTC (PDF) indique qu’après avoir acquis Jumpshot, alors concurrent antivirus, début 2014, Avast a rebaptisé l’entreprise en tant que vendeur d’analyses. Jumpshot a annoncé qu’il offrait des « informations uniques » sur les habitudes de « [m]ore de 100 millions de consommateurs en ligne dans le monde ». Cela incluait la possibilité de « [s]e voir où va votre public avant et après avoir visité votre site ou votre sites concurrents, et même suivre ceux qui visitent une URL spécifique.

Alors qu’Avast et Jumpshot ont affirmé que les informations d’identification des données avaient été supprimées, la FTC affirme que cela n’était « pas suffisant ». Les offres Jumpshot incluaient un identifiant d’appareil unique pour chaque navigateur, inclus dans des données telles qu’un « flux tous clics », « Search Plus Click Feed ». », « Flux de transactions », et bien plus encore. La plainte de la FTC détaille la manière dont diverses entreprises achètent ces flux, souvent dans le but exprès de les associer aux propres données d’une entreprise, jusqu’à chaque utilisateur individuel. Certains contrats Jumpshot tentaient d’interdire la ré-identification des utilisateurs d’Avast, mais « ces interdictions étaient limitées », note la plainte.

Le lien entre Avast et Jumpshot est devenu largement connu en janvier 2020, après qu’un article de Vice et PC Magazine ait révélé que des clients, notamment Home Depot, Google, Microsoft, Pepsi et McKinsey, achetaient des données à Jumpshot, comme le montrent les contrats confidentiels. Les données obtenues par les publications ont montré que les acheteurs pouvaient acheter des données, notamment des recherches sur Google Maps, des pages LinkedIn et YouTube individuelles, des sites pornographiques, etc. « C’est très granulaire et ce sont d’excellentes données pour ces entreprises, car elles se situent au niveau de l’appareil avec un horodatage », a déclaré une source à Vice.

La plainte de la FTC fournit plus de détails sur la manière dont Avast, sur ses propres forums Web, a cherché à minimiser sa présence dans Jumpshot. Avast a suggéré à la fois que seules des données non agrégées étaient fournies à Jumpshot et que les utilisateurs étaient informés lors de l’installation du produit de la collecte de données afin de « mieux comprendre les tendances nouvelles et intéressantes ». Aucune de ces affirmations ne s’est avérée vraie, suggère la FTC. Et les données collectées étaient loin d’être anodines, compte tenu de leur caractère réidentifiable :

Par exemple, un échantillon de seulement 100 entrées sur des milliers de milliards retenus par les répondants
a montré des visites de consommateurs sur les pages suivantes : un article universitaire sur une étude des symptômes
du cancer du sein ; Annonce de la candidature présidentielle de la sénatrice Elizabeth Warren ; un cours CLE
sur les exonérations fiscales ; des emplois gouvernementaux à Fort Meade, dans le Maryland, avec un salaire supérieur à
100 000 $ ; un lien (puis rompu) vers le milieu d’une demande FAFSA (aide financière) ;
itinéraires sur Google Maps d’un endroit à un autre ; une vidéo YouTube pour enfants en espagnol
; un lien vers un site de rencontre français, comprenant un identifiant de membre unique ; et
l’érotisme cosplay.

Dans un article de blog accompagnant son annonce , l’avocate principale de la FTC, Lesley Fair, écrit qu’en plus de la double nature des produits de confidentialité d’Avast et du suivi approfondi de Jumpshot, la FTC considère de plus en plus les données de navigation comme « des informations hautement sensibles qui nécessitent le plus grand soin ». « Les données sur les sites Web qu’une personne visite ne sont pas simplement un autre actif d’entreprise ouvert à une exploitation commerciale sans entrave », écrit Fair.

Les commissaires de la FTC ont voté 3-0 pour déposer la plainte et accepter l’accord de consentement proposé. La présidente Lina Khan, ainsi que les commissaires Rebecca Slaughter et Alvaro Bedoya, ont publié une déclaration sur leur vote.

Depuis la plainte de la FTC et son activité Jumpshot, Avast a été racheté par Gen Digital , une société qui comprend Norton, Avast, LifeLock, Avira, AVG, CCLeaner et ReputationDefender, entre autres activités de sécurité.

Divulgation : Condé Nast, la société mère d’Ars Technica, a reçu des données de Jumpshot avant sa fermeture.