Avast écope d’une lourde amende, l'antivirus a vendu vos données de navigation

Avast a collecté et vendu les données de navigation de ses utilisateurs pendant des années. Mal anonymisées, ces informations ont mis en danger la vie privée des internautes. Condamnée par un régulateur américain, la société doit verser une amende de plusieurs millions de dollars.

Avast, l’entreprise de cybersécurité tchèque derrière l’antivirus du même nom, vient d’être épinglé par la Federal Trade Commission (FTC), l’agence gouvernementale américaine chargée de la défense des consommateurs. D’après la FTC, Avast a recueilli des informations concernant les pages web visitées par ses utilisateurs. La collecte de données s’est étendue de 2014 à 2020, indique l’organisme.

Pour mémoire, Avast a en effet mis un terme à Jumpshot, sa filiale consacrée aux données, il y a quatre ans. La firme a pris cette décision à la suite d’une enquête menée par deux médias spécialisés, Vice et PC Mag. L’investigation avait révélé que l’extension navigateur d’Avast s’emparait d’une montagne de données sur les usagers. C’est également le cas de l’antivirus, que ce soit sur smartphone ou PC. Des dizaines de millions de dollars de revenus ont été générés grâce à Jumpshot avant sa fermeture.

À lire aussi : Des chercheurs en sécurité révèlent des failles vieilles de plusieurs années dans Avast et AVG

Des données sensibles collectées à votre insu

Comme l’indique le communiqué de l’agence, Avast a « injustement recueilli les informations de navigation des consommateurs par le biais des extensions de navigateur et du logiciel antivirus de la société, les a stockées indéfiniment et les a vendues sans préavis et sans le consentement des consommateurs ». Parmi les informations collectées par ce biais, on trouve les « croyances religieuses des consommateurs, les problèmes de santé, les penchants politiques, l’emplacement, la situation financière, et les visites de contenus destinés aux enfants ».

À l’insu de ses usagers, la société tchèque a vendu les données personnelles, qu’on peut considérer comme sensibles, à plus de 100 tiers. Pire, il s’avère qu’Avast n’a pas pris les mesures adéquates pour anonymiser les données collectées et revendues à des entreprises du secteur de la publicité. Les données ont été cédées avec des identifiants uniques pour chaque navigateur. Chaque identifiant était lié à des informations personnelles, comme les sites web visités, « les horodatages précis, le type d’appareil et de navigateur, le nom de la ville, l’État et le pays ».

En combinant ces informations, il est théoriquement possible de remonter jusqu’à l’identité d’un internaute. Selon la FTC, Jumpshot permettait même à ses partenaires de « suivre des utilisateurs spécifiques ou même d’associer des utilisateurs spécifiques – et leur historique de navigation – à d’autres informations ». En 2020, Avast avait pourtant assuré que les données étaient scrupuleusement anonymisées par ses soins, suscitant les inquiétudes des experts en sécurité.

Les promesses paradoxales d’Avast

Par ailleurs, la FTC estime qu’Avast a berné les internautes avec ses promesses. L’antivirus s’était en effet engagé à protéger ses utilisateurs contre le pistage publicitaire en ligne… alors qu’Avast s’emparait de leurs données de navigation pour les revendre aux annonceurs.

Les extensions navigateur d’Avast promettent en effet de « bloquer les cookies de suivi qui collectent des données sur vos activités de navigation » afin que vous puissiez « naviguer en toute confidentialité ». Ces pratiques trompeuses ont « compromis la vie privée des consommateurs », tacle Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC.

Une amende de 16,5 millions de dollars

La FTC a donc décidé d’interdire à Avast de « vendre ou de concéder sous licence toute donnée de navigation » récupérée par ses produits. La société doit absolument effacer toutes les données personnelles collectées par Jumpshot. Dans la foulée, la firme spécialisée dans les antivirus écope d’une amende de 16,5 millions de dollars. La somme sera utilisée pour « fournir réparation aux consommateurs ». La FTC enjoint Avast à obtenir le « consentement express » des usagers avant de vendre leurs données de navigation.

Dans un communiqué adressé à The Verge, Avast se dit opposé aux « allégations et à la caractérisation des faits » mise en avant par la FTC. Néanmoins, la firme basée en République tchèque se dit heureuse de « résoudre ce problème » afin de pouvoir « continuer à servir nos millions de clients dans le monde entier ».

? Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : FTC