Avast a collecté et vendu les données de navigation de ses utilisateurs pendant des années. Mal anonymisées, ces informations ont mis en danger la vie privée des internautes. Condamnée par un régulateur américain, la société doit verser une amende de plusieurs millions de dollars.
Avast, l’entreprise de cybersécurité tchèque derrière l’antivirus du même nom, vient d’être épinglé par la Federal Trade Commission (FTC), l’agence gouvernementale américaine chargée de la défense des consommateurs. D’après la FTC, Avast a recueilli des informations concernant les pages web visitées par ses utilisateurs. La collecte de données s’est étendue de 2014 à 2020, indique l’organisme.
Pour mémoire, Avast a en effet mis un terme à Jumpshot, sa filiale consacrée aux données, il y a quatre ans. La firme a pris cette décision à la suite d’une enquête menée par deux médias spécialisés, Vice et PC Mag. L’investigation avait révélé que l’extension navigateur d’Avast s’emparait d’une montagne de données sur les usagers. C’est également le cas de l’antivirus que ce soit sur smartphone ou PC. Des dizaines de millions de dollars de revenus ont été générés grâce à Jumpshot avant sa fermeture.
Des données sensibles collectées à votre insu
Comme l’indique le communiqué de l’agence, Avast a « injustement recueilli les informations de navigation des consommateurs par le biais des extensions de navigateur et du logiciel antivirus de la société, les a stockées indéfiniment et les a vendues sans préavis et sans le consentement des consommateurs ». Parmi les informations collectées par ce biais, on trouve les « croyances religieuses des consommateurs, les problèmes de santé, les penchants politiques, l’emplacement, la situation financière et les visites de contenus destinés aux enfants ».
À l’insu de ses usagers, la société tchèque a vendu les données personnelles, qu’on peut considérer comme sensibles, à plus de 100 tiers. Pire, il s’avère qu’Avast n’a pas pris les mesures adéquates pour anonymiser les données collectées et revendues à des entreprises du secteur de la publicité. Les données ont été cédées avec des identifiants uniques pour chaque navigateur. Chaque identifiant était lié à des informations personnelles, comme les sites web visités, « les horodatages précis, le type d’appareil et de navigateur, le nom de la ville, l’État et le pays ».
En combinant ces informations, il est théoriquement possible de remonter jusqu’à l’identité d’un internaute. Selon la FTC, Jumpshot permettait même à ses partenaires de « suivre des utilisateurs spécifiques ou même d’associer des utilisateurs spécifiques – et leur historique de navigation – à d’autres informations ». En 2020, Avast avait pourtant assuré que les données étaient scrupuleusement anonymisées par ses soins, suscitant les inquiétudes des experts en sécurité.
Une amende de 16,5 millions de dollars
La FTC a donc décidé d’interdire à Avast de « vendre ou de concéder sous licence toute donnée de navigation » récupérée par ses produits. La société doit absolument effacer toutes les données personnelles collectées par Jumpshot. Dans la foulée, la firme spécialisée dans les antivirus écope d’une amende de 16,5 millions de dollars. La somme sera utilisée pour « fournir réparation aux consommateurs ». La FTC enjoint Avast à obtenir le « consentement express » des usagers avant de vendre leurs données de navigation.
Dans un communiqué adressé à The Verge, Avast se dit opposé aux « allégations et à la caractérisation des faits » mise en avant par la FTC. Néanmoins, la firme basée en République tchèque se dit heureuse de « résoudre ce problème » afin de pouvoir « continuer à servir nos millions de clients dans le monde entier ».
source : 01net