Motherboard et PCMag affirment que Avast vend les données hautement sensibles de navigation sur la toile des centaines de millions d’utilisateurs de son antivirus à certaines des plus grandes entreprises de la planète.

Ces informations sont collectées par l’antivirus, et transformées en divers produits par Jumpshot, une filiale très discrète.

Parmi les clients actuels, potentiels ou précédents : Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora, Home Depot, Condé Nast, Intuit, Omnicom Media Group, sans doute IBM, Expedia et L’Oreal, et beaucoup d’autres.

Avast affirme avoir plus de 435 millions d’utilisateurs actifs mensuels, et Jumpshot prétend que ses données proviennent de plus de 100 millions d’appareils.

Dans un tweet pour démarcher de nouveaux clients, Jumpshot affirme collecter « toutes les recherches. Tous les clics. Tous les achats. Sur tous les sites. »

Voici quelques exemples de données vendues : les recherches sur Google, les recherches de lieux et de coordonnées GPS sur Google Maps, les entreprises visitées sur LinkedIn, ceux qui regardent certaines vidéos particulières sur YouTube, ou les personnes qui fréquentent des sites pornographiques.

Les données anonymisées de fréquentation de ces sites incluent la date et l’heure, parfois les mots des recherches entrées, et même la liste des vidéos regardées.

Théoriquement, les informations sont anonymes. On sait cependant qu’à l’exception de procédés hautement sophistiqués basés sur le chiffrement homomorphique, la plupart des méthodes classiques d’anonymisation de données ne fonctionnent pas : il est souvent facile de dé-anonymiser les données.

Ce qui fut prouvé dès 2006 par des journalistes du New York Times, qui identifièrent des personnes spécifiques à partir de données anonymisées de recherches fournies publiquement par AOL.

Or si le numéro d’identification de l’appareil du surfeur n’est pas transmis en clair aux acheteurs, il ne change pour ainsi dire jamais d’après Jumpshot.

Théoriquement aussi, les données des utilisateurs ne sont collectées et traitées qu’après leur consentement, mais d’après l’étude, la plupart des utilisatrices et des utilisateurs de l’antivirus n’ont pas le souvenir d’avoir donné l’autorisation à Avast de collecter ou de vendre les données de navigation, ce qui remet en cause le consentement.

Et ce consentement n’aurait commencé à être demandé que ces dernières semaines, une fois l’entreprise prise la main dans le sac.

Il est interdit aux employés de Jumpshot de discuter des relations de l’entreprise avec ses entreprises clientes.

Comme nous l’avions rapporté, Wladimir Palant, créateur de l’extension Adblock Plus, avait alerté en octobre et en décembre que de nombreux logiciels d’Avast et de sa filiale AVG étaient en fait des logiciels espions qui transmettaient des données vers ses serveurs qui lui permettaient de reconstruire l’historique complet de navigation, et une quantité de données bien supérieure à ce qui est nécessaire pour remplir leur office, surtout comparée à des services concurrents comme Google Safe Browsing.

Ce qui avait mené Mozilla, Opera et Google à retirer les extensions de navigateur de leurs magasins.

Avast et AVG avaient alors arrêté de transmettre des données par leurs extensions.

Toutefois, ces entreprises ont continué à collecter les informations de navigation de leurs utilisateurs, et, au lieu de les faire transiter par des extensions, elles sont téléversées par les logiciels antivirus…

Microsoft affirme ne pas avoir de relation courante avec l’entreprise. Yelp affirme n’avoir utilisé le service qu’une fois, quand les autorités antitrust lui ont demandé d’évaluer l’impact anticoncurrentiel des mesures de Google.

D’autres compagnies sont mentionnées comme clientes sur le site de Jumpshot ou dans des communiqués de presse: Pepsi, Bain & Company ou McKinsey.