Avast, les virus non, les data oui

La fuite de documents révèle le marché secret de vos données de navigation sur le web. Une filiale d'Avast spécialisée dans les antivirus vend « Chaque recherche ». « Chaque clic ». « Chaque achat ». « Sur chaque site ». Parmi ses clients figurent Home Depot, Google, Microsoft, Pepsi, McKinsey, Sephora, Condé Nast, Yelp, etc. 435 millions e clients d’Avast menacés et plus de 100 millions de sa filiale Jumpshot selon l’enquête de Motherboard et PC Mag publiée fin janvier. Si la « Police » pique dans la caisse on peut se poser des questions. Qui contrôlent les contrôleurs ?

Un programme antivirus utilisé par des centaines de millions de personnes dans le monde entier vend des données de navigation web très sensibles à de nombreuses grandes entreprises, a révélé une enquête conjointe de Motherboard et de PCMag. Le rapport s'appuie sur des fuites de données d'utilisateurs, de contrats et d'autres documents d'entreprises qui montrent que la vente de ces données est à la fois très sensible et, dans de nombreux cas, censée rester confidentielle entre l'entreprise qui vend les données et les clients qui les achètent.

Ces documents, provenant d'une filiale du géant de l'antivirus Avast appelée Jumpshot, apportent un nouvel éclairage sur la vente et la chaîne d'approvisionnement secrètes des historiques de navigation sur Internet des personnes. Ils montrent que le programme antivirus Avast installé sur l'ordinateur d'une personne collecte des données, et que Jumpshot les reconditionne en différents produits qui sont ensuite vendus à de nombreuses grandes entreprises dans le monde. Parmi les clients passés, présents et potentiels, on compte Google, Yelp, Microsoft, McKinsey, Pepsi, Home Depot, Condé Nast, Intuit et bien d'autres. Certains clients ont payé des millions de dollars pour des produits qui incluent un "flux All Clicks", qui permet de suivre le comportement des utilisateurs, les clics et les déplacements sur les sites web avec une grande précision.

Avast affirme avoir plus de 435 millions d'utilisateurs actifs par mois, et Jumpshot dit avoir des données provenant de 100 millions d'appareils. Avast collecte des données auprès des utilisateurs qui ont choisi de participer et les fournit ensuite à Jumpshot, mais de nombreux utilisateurs d'Avast ont dit à la carte mère qu'ils ne savaient pas qu'Avast vendait des données de navigation, ce qui soulève des questions sur le degré d'information de ce consentement.

Les données obtenues par Motherboard et PCMag comprennent les recherches Google, les recherches de lieux et de coordonnées GPS sur Google Maps, les personnes visitant les pages LinkedIn des entreprises, en particulier les vidéos YouTube, et les personnes visitant des sites pornographiques. Il est possible de déterminer, à partir des données collectées, la date et l'heure auxquelles l'utilisateur anonymisé a visité YouPorn et PornHub, et dans certains cas, le terme de recherche qu'il a entré sur le site porno et la vidéo spécifique qu'il a regardée.

Bien que les données ne comprennent pas d'informations personnelles explicites telles que le nom des utilisateurs, elles contiennent néanmoins une multitude de données de navigation spécifiques, et les experts affirment qu'il est possible de désanonymiser les utilisateurs.

Omnicom par l’exemple subitement discret

Jumpshot vend une variété de produits différents basés sur les données collectées par le logiciel antivirus d'Avast installé sur les ordinateurs des utilisateurs. Les clients du secteur de la finance institutionnelle achètent souvent un flux des 10 000 premiers domaines que les utilisateurs d'Avast visitent pour essayer de repérer les tendances, lit-on dans le manuel du produit.

Un autre produit Jumpshot est le "All Click Feed" de la société. Il permet à un client d'acheter des informations sur tous les clics que Jumpshot a vus sur un domaine particulier, comme Amazon.com, Walmart.com, Target.com, BestBuy.com ou Ebay.com.

Dans un tweet envoyé le mois dernier dans le but d'attirer de nouveaux clients, Jumpshot a noté qu'il recueille "chaque recherche". Chaque clic. Chaque achat. Sur chaque site" [c'est Jumpshot qui souligne].

Les données de Jumpshot peut montrer comment une personne ayant l'antivirus Avast installé sur son ordinateur a cherché un produit sur Google, a cliqué sur un lien qui allait sur Amazon, puis a peut-être ajouté un article à son panier sur un autre site web, avant d'acheter finalement un produit, la source qui a fourni les documents expliquée.

Une entreprise qui a acheté le fil All Clicks est la société de marketing Omnicom Media Group, basée à New York Selon une copie de son contrat avec Jumpshot. Omnicom a payé Jumpshot 2 075 000 dollars pour l'accès aux données en 2019. Il comprenait également un autre produit appelé « Insight Feed » pour 20 domaines différents. Les frais pour les données en 2020 puis en 2021 s'élèvent respectivement à 2 225 000 et 2 275 000 dollars, ajoute le document.

Jumpshot a permis à Omnicom d'accéder à tous les flux de clics de 14 pays différents dans le monde, dont les États-Unis, l'Angleterre, le Canada, l'Australie et la Nouvelle-Zélande (les « 5 eyes » d’Echelon (« Prism depuis quelques années) cher à la NSA). Le produit inclut également le sexe des utilisateurs « sur la base de leur comportement de navigation », leur âge présumé et la chaîne URL complète, mais sans les informations d'identification personnelle (IIP), ajoute le contrat.

Omnicom n'a pas répondu aux multiples demandes de commentaires.

A qui se fier ? Résistera-t-on au Coronavirus digital ?