Le coût de l'antivirus gratuit d'Avast: les entreprises peuvent espionner vos clics

05JmYayp6YeJSWOHHdM1xmb 7.1580141042.fit lim.size 1200x630


Votre antivirus doit vous protéger, mais que se passe-t-il s'il transmet l'historique de votre navigateur à une grande entreprise de marketing?

Se détendre. C'est ce qu'Avast a dit au public après que ses extensions de navigateur aient été découvertes en train de collecter les données des utilisateurs pour les fournir aux spécialistes du marketing. Le mois dernier, la société d'antivirus a tenté de justifier cette pratique en affirmant que les historiques Web collectés avaient été dépouillés des données personnelles des utilisateurs avant d'être transmis.

«Les données sont entièrement anonymisées et agrégées et ne peuvent pas être utilisées pour vous identifier ou vous cibler personnellement», a déclaré Avast aux utilisateurs, qui optent pour le partage de données. En retour, votre vie privée est préservée, Avast est payé et les spécialistes du marketing en ligne obtiennent une mine de données «agrégées» sur les consommateurs pour les aider à vendre plus de produits.

Il y a juste un problème: ce qui devrait être un morceau géant de données d'historique Web anonymisées peut en fait être séparé et lié à des utilisateurs Avast individuels, selon une enquête conjointe de PCMag et Carte mère.

Comment la «désidentification» peut échouer

La division Avast chargée de vendre les données est Jumpshot, une filiale de la société qui offre un accès au trafic utilisateur à partir de 100 millions d'appareils, y compris des PC et des téléphones. En retour, les clients, des grandes marques aux fournisseurs de commerce électronique, peuvent savoir ce que les consommateurs achètent et où, que ce soit à partir d'une recherche Google ou Amazon, d'une annonce dans un article de presse ou d'une publication sur Instagram.

Marketing Jumpshot

Les données collectées sont si granulaires que les clients peuvent voir les clics individuels que les utilisateurs font sur leurs sessions de navigation, y compris le temps jusqu'à la milliseconde. Et bien que les données collectées ne soient jamais liées au nom, à l'adresse e-mail ou à l'adresse IP d'une personne, chaque historique de l'utilisateur est néanmoins attribué à un identifiant appelé ID de l'appareil, qui persistera à moins que l'utilisateur ne désinstalle le produit antivirus Avast.

Par exemple, un simple clic peut théoriquement ressembler à ceci:

Reference de l'appareil: abc123x Date: 01/12/2019 Heure Minute Seconde: 12:03:05 Domaine: Amazon.com Produit: Apple iPad Pro 10.5 – Modèle 2017 – 256 Go, Or rose Comportement: Ajouter au chariot

À première vue, le clic semble inoffensif. Vous ne pouvez pas l'épingler à un utilisateur exact. Autrement dit, à moins que vous ne soyez Amazon.com, qui pourrait facilement déterminer quel utilisateur d'Amazon a acheté un iPad Pro à 12 h 03 min 05 s le 1er décembre 2019. Soudain, l'ID d'appareil: 123abcx est un utilisateur connu. Et tout ce que Jumpshot a sur l'activité de 123abcx – des autres achats e-commerce aux recherches Google – n'est plus anonyme.

PCMag et Motherboard ont appris les détails entourant la collecte de données à partir d'une source familière avec les produits Jumpshot. Et les experts en confidentialité à qui nous avons parlé ont convenu que les informations d'horodatage, les ID d'appareil persistants, ainsi que les URL collectées pouvaient être analysés pour révéler l'identité de quelqu'un.

«La plupart des menaces posées par la désanonymisation – lorsque vous identifiez des personnes – proviennent de la possibilité de fusionner les informations avec d'autres données», a déclaré Gunes Acar, un chercheur en confidentialité qui étudie le suivi en ligne.

Il souligne que les grandes entreprises telles qu'Amazon, Google et les détaillants de marque et les sociétés de marketing peuvent accumuler des journaux d'activité entiers sur leurs utilisateurs. Avec les données de Jumpshot, les entreprises disposent d'un autre moyen de retracer les empreintes numériques des utilisateurs sur Internet.

"Peut-être que les données (Jumpshot) elles-mêmes n'identifient pas les personnes", a déclaré Acar. "Il ne s'agit peut-être que d'une liste d'identifiants utilisateur hachés et de certaines URL. Mais elle peut toujours être combinée avec d'autres données d'autres spécialistes du marketing, d'autres annonceurs, qui peuvent fondamentalement arriver à la véritable identité."

Le "flux de tous les clics"

Porno Google

Selon des documents internes, Jumpshot propose une variété de produits qui servent les données de navigateur collectées de différentes manières. Par exemple, un produit se concentre sur les recherches effectuées par les internautes, y compris les mots clés utilisés et les résultats sur lesquels l'utilisateur a cliqué.

Nous avons vu un instantané des données collectées et vu des journaux contenant des requêtes sur des sujets banals et quotidiens. Mais il y avait aussi des recherches sensibles pour la pornographie – y compris le sexe mineur – des informations dont personne ne voudrait qu'elles soient liées.

D'autres produits Jumpshot sont conçus pour suivre les vidéos que les utilisateurs regardent sur YouTube, Facebook et Instagram. Une autre consiste à analyser un domaine de commerce électronique sélectionné pour aider les spécialistes du marketing à comprendre comment les utilisateurs l'atteignent.

Mais en ce qui concerne un client en particulier, Jumpshot semble avoir offert l'accès à tout. En décembre 2018, Omnicom Media Group, un important fournisseur de marketing, a signé un contrat pour recevoir ce qu'on appelle le «flux de tous les clics», ou chaque clic que Jumpshot recueille auprès des utilisateurs d'Avast. Normalement, le flux Tous les clics est vendu sans ID de périphérique "pour se protéger contre la triangulation des PII (informations personnellement identifiables)", indique le manuel produit de Jumpshot. Mais en ce qui concerne Omnicom, Jumpshot fournit le produit avec des identifiants d'appareil attachés à chaque clic, conformément au contrat.

En outre, le contrat demande à Jumpshot de fournir la chaîne d'URL de chaque site visité, l'URL de référence, les horodatages jusqu'à la milliseconde, ainsi que l'âge et le sexe suspectés de l'utilisateur, qui peuvent être déduits en fonction des sites de la personne. visite.

On ne sait pas pourquoi Omnicom veut les données. L'entreprise n'a pas répondu à nos questions. Mais le contrat soulève la perspective inquiétante qu'Omnicom peut démêler les données de Jumpshot pour identifier les utilisateurs individuels.

Annalect

Bien qu'Omnicom lui-même ne possède pas de plate-forme Internet majeure, les données Jumpshot sont envoyées à une filiale appelée Annalect, qui propose des solutions technologiques pour aider les entreprises à fusionner leurs propres informations client avec des données tierces. Le contrat de trois ans est entré en vigueur en janvier 2019 et donne à Omnicom un accès aux données quotidiennes de flux de clics sur 14 marchés, dont les États-Unis, l'Inde et le Royaume-Uni. En retour, Jumpshot est payé 6,5 millions de dollars.

Qui d'autre pourrait avoir accès aux données de Jumpshot reste incertain. Le site Web de la société indique qu'il a fonctionné avec d'autres marques, notamment IBM, Microsoft et Google. Cependant, Microsoft a déclaré qu'il n'avait actuellement aucune relation avec Jumpshot. IBM, en revanche, n'a «aucune trace» d'être client d'Avast ou de Jumpshot. Google n'a pas répondu à une demande de commentaire.

D'autres clients mentionnés dans le marketing de Jumpshot couvrent les sociétés de produits de consommation Unilever, Nestle Purina et Kimberly-Clark, en plus du fournisseur de TurboTax Intuit. Sont également cités les cabinets d'études de marché et de conseil McKinsey & Company et GfK, qui ont refusé de commenter son partenariat avec Jumpshot. Les tentatives de confirmation d'autres relations avec les clients ont été largement satisfaites sans réponse. Mais les documents que nous avons obtenus montrent que les données de Jumpshot vont peut-être aux sociétés de capital-risque.

“ Il est presque impossible de désidentifier les données ''

Wladimir Palant est le chercheur en sécurité qui a initialement déclenché l'examen public du mois dernier des politiques de collecte de données d'Avast. En octobre, il remarqué quelque chose d'étrange avec les extensions de navigateur de la société antivirus: ils enregistraient chaque site Web visité avec un identifiant d'utilisateur et envoyaient les informations à Avast.

Les résultats l'ont incité à qualifier les extensions de logiciels espions. En réponse, Google et Mozilla les ont temporairement supprimés jusqu'à ce qu'Avast mette en place de nouvelles protections de confidentialité. Pourtant, Palant a essayé de comprendre ce que signifie Avast quand il dit qu'il "désidentifie" et "agrège" l'historique des navigateurs des utilisateurs lorsque la société d'antivirus s'est abstenue de révéler publiquement le processus technique exact.

"L'agrégation signifierait normalement que les données de plusieurs utilisateurs sont combinées. Si les clients Jumpshot peuvent toujours voir les données d'utilisateurs individuels, c'est vraiment mauvais", a déclaré Palant dans une interview par e-mail.

Une sauvegarde que Jumpshot utilise pour empêcher les clients d'identifier les véritables identités des utilisateurs d'Avast est un breveté processus conçu pour supprimer les informations PII, telles que les noms et les adresses e-mail, d'apparaître dans les URL collectées. Mais même avec la suppression des informations personnelles, Palant affirme que la collecte de données expose toujours inutilement les utilisateurs d'Avast à des risques pour la vie privée.

"Il est difficile d'imaginer qu'un algorithme d'anonymisation puisse supprimer toutes les données pertinentes. Il y a tout simplement trop de sites Web, et chacun d'eux fait quelque chose de différent", a-t-il déclaré. Par exemple, Palant souligne comment la visite des liens URL collectés pour un utilisateur peut révéler systématiquement quels tweets ou vidéos la personne commenté sur, et ainsi exposer la véritable identité de l'utilisateur.

«Il est presque impossible de désidentifier les données», a déclaré Eric Goldman, co-directeur du High Tech Law Institute de l'Université de Santa Clara, qui a également contesté la monétisation des données des utilisateurs par une société d'antivirus. "Cela ressemble à une pratique commerciale terrible. Ils sont censés protéger les consommateurs contre les menaces, plutôt que de les exposer à des menaces."

«Vous pensez partager certaines données avec nous?

Paramètres de confidentialité Avast

Nous avons posé à Avast plus d'une dizaine de questions concernant l'étendue des données collectées, avec qui elles sont partagées, ainsi que des informations sur le contrat Omnicom. Il a refusé de répondre à la plupart de nos questions ou de fournir un contact pour Jumpshot, qui n'a pas répondu à nos appels ou e-mails. Cependant, Avast a déclaré avoir cessé de collecter les données des utilisateurs à des fins de marketing via les extensions de navigateur Avast et AVG.

"Nous avons complètement abandonné la pratique consistant à utiliser les données des extensions de navigateur à d'autres fins que le moteur de sécurité principal, y compris le partage avec Jumpshot", a déclaré la société dans un communiqué.

Néanmoins, la division Jumpshot d'Avast peut toujours collecter l'historique de votre navigateur via les principales applications antivirus d'Avast sur ordinateur et mobile. Cela inclut l'antivirus AVG, qui appartient également à Avast. La collecte de données se produit via le composant Web Shield du logiciel, qui analysera également les URL de votre navigateur pour détecter les sites Web malveillants ou frauduleux.

Pour cette raison, PCMag ne peut plus recommander Avast Free Antivirus comme choix des éditeurs dans la catégorie de la protection antivirus gratuite.

La question de savoir si l'entreprise a vraiment besoin de vos URL pour vous protéger fait débat. Avast dit que prendre les informations directement et laisser les serveurs cloud d'Avast les analyser immédiatement fournit aux utilisateurs «des couches de sécurité supplémentaires». Mais la même approche a ses propres risques, selon le chercheur en confidentialité Gunes Acar, qui a déclaré que le moyen le plus sûr de traiter les URL visitées est de ne jamais les collecter. API de navigation sécurisée de Google, par exemple, envoie une liste noire mise à jour des mauvais sites Web au navigateur de votre ordinateur, afin que les URL puissent être vérifiées sur votre ordinateur plutôt que sur le cloud.

"Cela peut être fait de manière plus privée", a déclaré Acar. "Avast devrait définitivement adopter cela. Mais il semble qu'ils visent à gagner de l'argent grâce aux URL."

D'un autre côté, Avast propose un produit antivirus gratuit. La société souligne également que la collecte de l'historique du navigateur est facultative. Vous pouvez l'éteindre lors de l'installation ou dans le panneau des paramètres.

«Les utilisateurs ont toujours eu la possibilité de refuser le partage de données avec Jumpshot. Depuis juillet 2019, nous avions déjà commencé à mettre en œuvre un choix d'acceptation explicite pour tous les nouveaux téléchargements de notre AV (antivirus), et nous demandons maintenant également notre les utilisateurs libres existants de faire un choix explicite, un processus qui s'achèvera en février 2020 », a déclaré la société.

Avast Mind partage certaines données

En effet, lorsque vous installez l'antivirus Avast ou AVG sur un PC Windows, le produit vous affichera une fenêtre contextuelle qui vous demandera: "Ça vous dérange de partager des données avec nous?" La fenêtre contextuelle vous indiquera ensuite que les données collectées seront anonymisées et agrégées afin de protéger votre vie privée.

Cependant, aucune mention n'est faite sur la façon dont les mêmes données peuvent être combinées avec d'autres informations pour connecter votre identité à l'historique du navigateur collecté. La fenêtre contextuelle ne mentionne pas non plus comment Jumpshot peut conserver l'accès aux données pendant trois ans. Pour ce détail, vous devrez regarder les petits caractères dans Avast's politique de confidentialité.

En conséquence, les utilisateurs qui voient la fenêtre contextuelle peuvent supposer que leurs données seront protégées et s'engager alors qu'en réalité, les politiques de confidentialité relatives aux produits technologiques sont souvent délibérément vagues et simplifiées. "Vous voulez que le consommateur achète ou utilise votre produit. Mais vous ne voulez pas non plus leur faire peur", a déclaré Kim Phan, associé du cabinet juridique Ballard Spahr, qui travaille dans le groupe de confidentialité et de sécurité des données.

Le compromis est que les politiques peuvent devenir opaques. «Il est plus difficile de comprendre ce que vous faites», a-t-elle ajouté. "Les gens ne pourront pas comprendre les détails, ou ils penseront que vous essayez de cacher quelque chose."

Dans le cas d'Avast, la controverse autour des pratiques de collecte de données largement inconnues a suscité un examen suffisamment minutieux pour que le sénateur américain Ron Wyden décidé enquêter. «Les Américains s'attendent à ce que les logiciels de cybersécurité et de confidentialité protègent leurs données, pas les vendent aux spécialistes du marketing», at-il tweeté à l'époque.

Dans un communiqué, Wyden a déclaré qu'il était encouragé qu'Avast mette fin à la collecte de données via les extensions de navigateur de l'entreprise. "Cependant, je suis préoccupé par le fait qu'Avast ne s'est pas encore engagé à supprimer les données utilisateur qui ont été collectées et partagées sans le consentement opt-in de ses utilisateurs, ou à mettre fin à la vente de données sensibles de navigation sur Internet", a-t-il ajouté. "Le seul plan d'action responsable est d'être totalement transparent avec les clients à l'avenir et de purger les données qui ont été collectées dans des conditions suspectes dans le passé."

MISE À JOUR 1/30: Après que l'enquête conjointe PCMag-Motherboard ait fait des vagues, y compris le sénateur Mark Warner reprochant à la FTC d'avoir laissé tomber le ballon sous surveillance, Avast a annoncé qu'il fermerait les opérations à Jumpshot. "En tant que PDG d'Avast, je me sens personnellement responsable et je tiens à m'excuser auprès de toutes les personnes concernées", Ondrej Vlcek dit dans un communiqué.

Lectures complémentaires

Avis sur les antivirus

Meilleurs choix d'antivirus



Source link

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *