Le scandale Avast : pourquoi nous avons arrêté de recommander Avast et AVG

Ben Martens
Publié le : 16 avril 2020
Le scandale Avast : pourquoi nous avons arrêté de recommander Avast et AVG

Nos lecteurs nous ont demandé pourquoi nous continuions de classer Avast et AVG sur notre site Internet, alors qu’ils ont été impliqués dans un grave scandale. Eh bien, après mûre réflexion et de longs échanges entre nos services, nous avons pris la décision de les retirer de toutes nos listes.

Pourquoi ? Parce qu’au cours des derniers mois, Avast, qui possède également AVG, s’est retrouvé au cœur d’une polémique suite à des accusations de pratiques commerciales contraires à l’éthique.

L’extension Avast Online Security a été supprimée des store de Mozilla, Chrome et Opera en décembre 2019 après qu’elle ait été soupçonnée de collecter une importante quantité de données utilisateur, non seulement tous les sites Internet consultés, mais également la localisation, l’historique de recherche, l’âge, le genre, les identités sur les réseaux sociaux et même les informations de livraison personnelles. Trois mois plus tard, Avast a fermé une de ses filiales, Jumpshot, après la sortie de plusieurs rapports d’enquêtes évoquant la revente des données personnelles d’environ 100 millions d’utilisateurs, collectées suite à la surveillance des utilisateurs.

L’équipe de SafetyDetectives a minutieusement pesé sa décision de retirer Avast de notre site Internet au cours des prochaines semaines. Toute entreprise aux prises avec de telles accusations perd notre confiance et n’est plus digne de notre approbation.

Voici comment Avast aurait espionné ses utilisateurs pendant les 7 dernières années

Wladimir Palant, le fondateur d’Adblock Plus, a été le premier à tirer la sonnette d’alarme sur les pratiques prédatrices d’Avast. En octobre 2019, il a publié des informations incriminantes sur son blog ainsi qu’une explication détaillée sur la façon dont, selon lui, Avast a pu « transmettre des données permettant de retracer l’intégralité de votre historique de navigation et une grande partie de votre comportement de navigation ».

Les extensions Online Security d’Avast et AVG enregistraient tous les clics de leurs utilisateurs, et par la même occasion les sites Internet consultés, quand et depuis où. Bien qu’Avast ait affirmé que la collecte de données était une composante essentielle à son extension de navigateur, les extensions proposées par les éditeurs rivaux semblent très bien fonctionner sans collecter ni conserver une grande quantité de données personnelles.

Il a ensuite été révélé que ces données étaient vendues à de grandes sociétés, comme Home Depot, Google et Pepsi, par une filiale d’Avast baptisée Jumpshot.

Une filiale d’Avast a vendu des données utilisateur pour des millions de dollars

En 2013, Avast a fait l’acquisition de Jumpshot, une société qui agrégeait des données utilisateur « anonymes » et les revendait à des entreprises en ligne. Les informations disponibles sur Jumpshot restaient vagues, mais l’entreprise affirmait avoir obtenu « des données de parcours de navigation de 100 millions d’acheteurs en ligne et de 40 millions d’utilisateurs d’application ». La source des données utilisateur de Jumpshot était le logiciel-espion intégré aux extensions Online Security d’Avast et AVG. Palant a joué un rôle essentiel dans ces révélations, mais le coup de grâce a été cet article de VICE Motherboard, publié au début de l’année 2020. Il énumère les sociétés ayant acheté des données à Jumpshot et cite le témoignage d’un lanceur d’alerte et des documents internes appartenant à Avast et Jumpshot. Jumpshot a affirmé qu’aucune « information personnelle permettant l’identification » n’était incluse dans les données vendues par ces soins, mais cela n’a pas convaincu de nombreux experts.

Selon l’enquête, les données de Jumpshot comprenaient tous les clics effectués par les utilisateurs d’Avast Online Security et horodatés (au millième de seconde près), le pays, la ville et le code postal liés aux adresses IP des utilisateurs. Palant a également démontré que l’algorithme conçu pour censurer des données spécifiques, comme les adresses électroniques et les profils de réseaux sociaux, était sérieusement défaillant : les détails de livraison des services de livraison, dont les noms et adresses postales, étaient inclus dans les paquets de données vendus par Jumpshot.

Pour des sénateurs américains et des journalistes d’investigation, la responsabilité d’Avast est engagée

Ron Wyden, sénateur de l’Oregon et partisan reconnu de la cybersécurité, de la neutralité du net et du droit à la vie privée numérique, s’en est pris publiquement à Avast en décembre 2019, déclarant sur Twitter que « les Américains attendent d’un logiciel de cybersécurité et de protection de la vie privée qu’il protège leurs données, non qu’il les revende à d’autres entreprises. Je lis ce rapport préoccupant sur Avast et il montre l’incapacité de l’éditeur à protéger les données de ses utilisateurs. »

Puis, après avoir été retiré des store de Chrome, Mozilla et Opera, Avast a eu la possibilité d’abandonner ses pratiques violant la vie privée de ses utilisateurs et de commencer à agir comme une firme de cybersécurité respectable. L’éditeur a modifié les paramètres de confidentialité de l’extension de navigateur Online Security, qui a fait son retour sur les store des navigateurs à la fin du mois de décembre. Toutefois, comme l’a révélé l’article de VICE Motherboard, la collecte des données a simplement été déplacée vers la suite antivirus principale et une question sur le consentement à la collecte des données a été ajoutée au processus d’installation.

Avec la publication de l’article de VICE Motherboard et face à la désapprobation unanime du public, Avast a finalement totalement fermé Jumpshot en février 2020. Mais pour SafetyDetectives, et bien d’autres acteurs du secteur de la cybersécurité, cette réaction était insuffisante et trop tardive. Ces 7 années pendant lesquelles Avast a secrètement tiré profit des données de ses utilisateurs font de ce scandale l’une des plus grandes infractions éthiques de l’histoire des logiciels antivirus.

Pourquoi les infractions éthiques des éditeurs d’antivirus sont particulièrement graves

Un logiciel antivirus fait partie des logiciels les plus invasifs disponibles. Nous offrons à notre logiciel antivirus un accès sans précédent à notre système : fichiers sensibles, historique de navigation, informations financières et réseaux privés sont tous visibles par notre antivirus. Nous signons des politiques de confidentialité et des contrats d’utilisation, en pensant qu’aucun langage trompeur n’est dissimulé dans tout ce jargon juridique. Mais en violant la vie privée de ses utilisateurs, Avast a érodé la relation de confiance entre les utilisateurs et les produits antivirus dans le monde entier. Il existe déjà assez de menaces avec les pirates et les actions gouvernementales intrusives, les éditeurs d’antivirus ne devraient pas représenter une autre menace.

Jumpshot a été officiellement fermé et Avast Online Security est de retour sur les store de Chrome et Mozilla, avec une plus stricte protection de la vie privée. Mais il n’en reste pas moins qu’Avast a tiré profit de manière non éthique des données de ses utilisateurs pendant 7 ans, et la seule chose qui les a arrêtés, c’est l’intervention citoyenne de Wladimir Palant et le travail des journalistes d’investigation de VICE Motherboard. Pour nous, si des professionnels indépendants n’avaient pas scrupuleusement documenté ces graves infractions et n’avaient pas averti le public, Avast serait encore en train d’escroquer ses utilisateurs. On peut même penser qu’Avast n’a véritablement envisagé de changer son fusil d’épaule qu’après l’intervention d’un sénateur américain.

Les retours des utilisateurs nous ont poussés à retirer Avast de SafetyDetectives

Chez SafetyDetectives, nous avions rencontré d’autres problèmes avec Avast au fil des années, suite à une évaluation négative, l’éditeur avait retiré sa publicité de notre site Internet. Nous nous efforçons de vous proposer les meilleurs produits de cybersécurité disponibles sur le net, quelles que soient nos relations commerciales avec les éditeurs qui assurent les revenus de notre site. C’est pourquoi nous continuions d’inclure Avast et AVG à nos listes, ils restaient même notre choix numéro 1 en matière d’antivirus pour appareils mobiles :

Pourquoi les infractions éthiques des éditeurs d’antivirus sont particulièrement graves

Cependant, face à de telles violations de la vie privée des utilisateurs sur les 7 dernières années, nous ne pouvons plus continuer à promouvoir Avast ou aucune de ses filiales (comme AVG) sur notre site.

Cela fait un moment que nous envisageons d’agir ainsi. Même si plusieurs sites d’évaluations de premier plan continuent de faire la promotion (et de tirer profit) d’Avast, nous continuerons de l’exclure de nos listes pendant un certain temps. Ce qui nous a finalement décidés ce sont tous les retours que nous avons reçus de la part de nos lecteurs avec des messages comme celui-ci : « Après la polémique concernant la revente de données par AVAST, ce logiciel ne devrait plus recevoir aucune évaluation positive ni recommandation. »

Nous sommes totalement d’accord. Ce type de violations de la vie privée devrait gêner toute personne prétendant croire aux droits de l’homme fondamentaux. C’est pourquoi il est essentiel pour les utilisateurs de rester au fait de ces problèmes et de protéger leurs appareils à l’aide d’un logiciel antivirus digne de confiance.

Ce n’est pas toujours la chose la plus facile ou populaire à faire, mais résister face à de grosses sociétés lorsqu’elles violent nos droits est essentiel. SafetyDetectives a été fondé dans le but de fournir aux personnes du monde entier les outils nécessaires pour protéger leurs données en cette ère numérique ; de se protéger contre les pirates, les pratiques immorales des gouvernements et même des firmes de cybersécurité prédatrices, comme Avast, qui ont montré au monde entier le peu d’estime qu’elles ont pour leurs utilisateurs.

Bien qu’Avast ait fait son retour sur la majorité des stores, et que la majorité de ses 400 millions d’utilisateurs continuent d’utiliser le logiciel, malgré ces violations éthiques, l’équipe de SafetyDetectives est fière de respecter ses convictions.

Donc, si vous vous demandez pourquoi nous ne mentionnons ni Avast ni AVG sur notre site Internet, voici la raison.

Si vous cherchez un antivirus qui ne volera pas vos données pour les revendre à Pepsi, consultez notre liste des meilleurs logiciels antivirus de 2020.

À propos de l’auteur

Ben Martens
Ben Martens
Cybersecurity journalist

À propos de l’auteur

Ben Martens est un journaliste spécialisé dans la cybersécurité et les domaines de l’éthique sur Internet, les tests de programmes malveillants et les politiques publiques. Il habite dans l’Oregon et, lorsqu’il ne défend pas les droits des internautes, il promène son chien et invente des histoires pour sa fille.