Votre antivirus devrait vous protéger, mais que se passe-t-il s’il transmet l’historique de votre navigateur à une grande entreprise de marketing?
vous Détendre. C’est ce Qu’Avast a dit au public après que ses extensions de navigateur ont été trouvées récolter les données des utilisateurs à fournir aux spécialistes du marketing. Le mois dernier, la société antivirus a tenté de justifier cette pratique en affirmant que les historiques web collectés avaient été dépouillés des données personnelles des utilisateurs avant d’être remis.,
« Les données sont entièrement anonymisées et agrégées et ne peuvent pas être utilisées pour vous identifier ou vous cibler personnellement », a déclaré Avast aux utilisateurs, qui optent pour le partage de données. En retour, votre vie privée est préservée, Avast est payé et les spécialistes du marketing en ligne obtiennent une mine de données « agrégées » sur les consommateurs pour les aider à vendre plus de produits.
Il y a juste un problème: ce qui devrait être un gros morceau de données d’historique Web anonymisées peut en fait être séparé et lié à des utilisateurs Avast individuels, selon une enquête conjointe de PCMag et Motherboard.,
comment la « dé-Identification » peut échouer
La division Avast chargée de vendre les données est Jumpshot, une filiale de la société qui offre un accès au trafic utilisateur à partir de 100 millions d’appareils, y compris les PC et les téléphones. En retour, les clients – des grandes marques aux fournisseurs de commerce électronique-peuvent apprendre ce que les consommateurs achètent et où, que ce soit à partir d’une recherche Google ou Amazon, d’une annonce d’un article de presse ou d’un post sur Instagram.,
Les données collectées sont si granulaires que les clients peuvent voir les clics individuels que les utilisateurs effectuent sur leurs sessions de navigation, y compris le temps jusqu’à la milliseconde. Et bien que les données collectées ne soient jamais liées au nom, à l’adresse e-mail ou à l’adresse IP d’une personne, chaque historique d’utilisateur est néanmoins attribué à un identifiant appelé ID de périphérique, qui persistera à moins que l’utilisateur ne désinstalle le produit antivirus Avast.
Par exemple, un simple clic peut théoriquement ressembler à ceci:
À première vue, cliquez sur l’air inoffensif. Vous ne pouvez pas l’épingler à un utilisateur exact., C’est-à-dire, sauf si vous êtes Amazon.com, qui pourrait facilement comprendre quel utilisateur Amazon a acheté un iPad Pro à 12: 03: 05 Le décembre. 1, 2019. Soudain, device ID: 123abcx est un utilisateur connu. Et tout ce que Jumpshot a sur l’activité de 123abcx-des autres achats de commerce électronique aux recherches Google-n’est plus anonyme.
PCMag et Motherboard ont appris les détails entourant la collecte de données à partir d’une source familière avec les produits Jumpshot., Et les experts de la confidentialité À qui nous avons parlé ont convenu que les informations d’horodatage, les ID d’appareil persistants, ainsi que les URL collectées pourraient être analysés pour exposer l’identité de quelqu’un.
« la plupart des menaces posées par la dépersonnalisation-où vous identifiez des personnes—proviennent de la possibilité de fusionner les informations avec d’autres données », a déclaré Gunes Acar, un chercheur sur la vie privée qui étudie le suivi en ligne.
Il souligne que les grandes entreprises telles Qu’Amazon, Google et les détaillants de marque et les entreprises de marketing peuvent amasser des journaux d’activité entiers sur leurs utilisateurs., Avec les données de Jumpshot, les entreprises disposent d’un autre moyen de tracer les empreintes numériques des utilisateurs sur internet.
vous cherchez des offres sur les dernières technologies?
cette newsletter peut contenir de la publicité, des offres ou des liens d’affiliation. L’inscription à une newsletter indique votre consentement à nos Conditions d’utilisation et à notre Politique de confidentialité. Vous pouvez vous désabonner à tout moment.
« peut-être que les données (Jumpshot) elles-mêmes n’identifient pas les personnes », a déclaré Acar. « Peut-être que c’est juste une liste d’ID d’utilisateur hachés et de quelques URL., Mais il peut toujours être combiné avec d’autres données d’autres spécialistes du marketing, d’autres annonceurs, qui peuvent essentiellement arriver à la véritable identité. »
le « All Clicks Feed »
selon les documents internes, Jumpshot propose une variété de produits qui servent les données de navigateur collectées de différentes manières. Par exemple, un produit se concentre sur les recherches effectuées par les utilisateurs, y compris les mots clés utilisés et les résultats sur lesquels on a cliqué.
Nous avons consulté un instantané des données collectées et vu des journaux contenant des requêtes sur des sujets banals et quotidiens., Mais il y avait aussi des recherches sensibles pour la pornographie—y compris le sexe des mineurs—des informations que personne ne voudrait liées à eux.Facebook, Instagram et YouTube.
D’autres produits Jumpshot sont conçus pour suivre les vidéos que les utilisateurs regardent sur YouTube, Facebook et Instagram. Un autre tourne autour de l’analyse d’un domaine de commerce électronique sélectionné pour aider les spécialistes du marketing à comprendre comment les utilisateurs l’atteignent.
Mais en ce qui concerne un client particulier, Jumpshot semble avoir offert l’accès à tout., En décembre 2018, Omnicom Media Group, un important fournisseur de marketing, a signé un contrat pour recevoir ce qu’on appelle le « flux tous les clics », ou chaque clic que Jumpshot collecte auprès des utilisateurs D’Avast. Normalement, le flux all Clicks est vendu sans ID d’appareil « pour se protéger contre la triangulation des PII (informations personnellement identifiables) », explique le manuel du produit de Jumpshot. Mais en ce qui concerne Omnicom, Jumpshot livre le produit avec des identifiants de périphérique attachés à chaque clic, conformément au contrat.,
En outre, le contrat prévoit que Jumpshot fournisse la chaîne D’URL à chaque site visité, L’URL de référence, les horodatages jusqu’à la milliseconde, ainsi que l’âge et le sexe suspectés de l’utilisateur, qui peuvent être déduits en fonction des sites visités par la personne.
On ne sait pas pourquoi Omnicom veut les données. La société n’a pas répondu à nos questions. Mais le contrat soulève la perspective inquiétante Omnicom peut démêler les données de Jumpshot pour identifier les utilisateurs individuels.,
bien Qu’Omnicom ne possède pas de plate-forme internet majeure, les données Jumpshot sont envoyées à une filiale appelée Annalect, qui offre des solutions technologiques pour aider les entreprises à fusionner leurs propres informations client avec des données tierces. Le contrat de trois ans est entré en vigueur en janvier 2019 et donne à Omnicom accès aux données quotidiennes du flux de clics sur 14 marchés, dont les États-Unis, l’Inde et le Royaume-Uni. En retour, Jumpshot reçoit 6,5 millions de dollars.
qui d’autre pourrait avoir accès aux données de Jumpshot reste flou., Le site Web de la société indique qu’il a travaillé avec d’autres marques, notamment IBM, Microsoft et Google. Cependant, Microsoft a déclaré qu’il n’avait aucune relation actuelle avec Jumpshot. IBM, d’autre part, n’a « aucun enregistrement » d’être un client D’Avast ou de Jumpshot. Google n’a pas répondu à une demande de commentaire.
D’autres clients mentionnés dans la couverture marketing de Jumpshot des sociétés de produits de consommation Unilever, Nestlé Purina et Kimberly-Clark, en plus du fournisseur de ImpôtRapide Intuit., Sont également nommés les cabinets D’études de marché et de conseil McKinsey& Company et GfK, qui a refusé de commenter son partenariat avec Jumpshot. Les tentatives de confirmation d’autres relations avec les clients ont été largement satisfaites sans réponse. Mais les documents que nous avons obtenus montrent que les données Jumpshot vont peut-être aux sociétés de capital-risque.
« il est presque Impossible de dépersonnaliser les données »
Wladimir Palant est le chercheur en sécurité qui a initialement déclenché l’examen public du mois dernier des politiques de collecte de données D’Avast., En octobre, il a remarqué quelque chose d’étrange avec les extensions de navigateur de la société antivirus: ils enregistraient chaque site Web visité à côté d’un identifiant utilisateur et envoyaient les informations à Avast.
Les résultats l’ont incité à appeler les extensions comme spyware. En réponse, Google et Mozilla les ont temporairement supprimés jusqu’à ce Qu’Avast implémente de nouvelles protections de la vie privée. Pourtant, Palant a essayé de comprendre ce que signifie Avast quand il dit qu’il « dépersonnalise » et « agrège » les historiques de navigateur des utilisateurs lorsque la société antivirus s’est abstenue de révéler publiquement le processus technique exact.,
« L’agrégation signifie normalement que les données de plusieurs utilisateurs sont combinées. Si les clients Jumpshot peuvent toujours voir les données des utilisateurs individuels, c’est vraiment mauvais », a déclaré Palant dans une interview par e-mail.
Une sauvegarde Jumpshot utilise pour empêcher les clients de localiser les identités réelles des utilisateurs D’Avast est un processus breveté conçu pour supprimer les informations PII, telles que les noms et les adresses e-mail, d’apparaître dans les URL collectées. Mais même avec le décapage de PII, Palant dit que la collecte de données expose toujours inutilement les utilisateurs D’Avast à des risques de confidentialité.,
« Il est difficile d’imaginer qu’un algorithme d’anonymisation sera capable de supprimer toutes les données pertinentes. Il y a tout simplement trop de sites Web, et chacun d’eux fait quelque chose de différent », a-t-il déclaré. Par exemple, Palant souligne comment la visite des liens URL collectés pour un utilisateur peut toujours révéler les tweets ou les vidéos sur lesquels la personne a commenté, et ainsi exposer l’identité réelle de l’utilisateur.,
« Il est presque impossible de dépersonnaliser les données », a déclaré Eric Goldman, co-directeur du High Tech Law Institute de L’Université de Santa Clara, qui a également contesté la monétisation des données des utilisateurs par une société antivirus. « Cela ressemble à une terrible pratique commerciale. Ils sont censés protéger les consommateurs contre les menaces, plutôt que de les exposer à des menaces. »
‘ça vous dérange de partager des données avec nous? »
Nous avons posé à Avast plus d’une douzaine de questions concernant L’étendue des données collectées, avec qui elles sont partagées, ainsi que des informations sur le contrat Omnicom., Il a refusé de répondre à la plupart de nos questions ou de fournir un contact pour Jumpshot, qui n’a pas répondu à nos appels ou courriels. Cependant, Avast a déclaré qu’il avait cessé de collecter des données utilisateur à des fins de marketing via les extensions de navigateur Avast et AVG.
« Nous avons complètement abandonné la pratique consistant à utiliser toutes les données des extensions de navigateur à d’autres fins que le moteur de sécurité de base, y compris le partage avec Jumpshot », a déclaré la société dans un communiqué.,
néanmoins, la division Jumpshot D’Avast peut toujours collecter les historiques de votre navigateur via les principales applications antivirus D’Avast sur ordinateur de bureau et mobile. Cela inclut AVG antivirus, qui possède également Avast. La collecte de données se fait via le composant Web Shield du logiciel, qui analysera également les URL de votre navigateur pour détecter les sites Web malveillants ou frauduleux.
pour cette raison, PCMag ne peut plus recommander Avast Free Antivirus comme choix des éditeurs dans la catégorie de protection antivirus gratuite.
la question de savoir si l’entreprise a vraiment besoin de vos URL pour vous protéger est à débattre., Avast dit prendre les informations directement et laisser les serveurs cloud D’Avast les analyser immédiatement fournit aux utilisateurs « des couches de sécurité supplémentaires. »Mais la même approche a ses propres risques, selon le chercheur en confidentialité Gunes Acar, qui a déclaré que le moyen le plus sûr de traiter les URL visitées est de ne jamais les collecter. L’API de Navigation Sécurisée de Google, par exemple, envoie une liste noire mise à jour des mauvais sites Web au navigateur de votre machine, afin que les URL puissent être vérifiées sur votre machine plutôt que sur le cloud.
« cela peut être fait de manière plus privée », a déclaré Acar. « Avast devrait certainement adopter cela., Mais il semble qu’ils soient dans l’entreprise de gagner de l’argent à partir des URL. »
D’un autre côté, Avast offre un produit antivirus gratuit. La société souligne également que la collecte de l’historique du navigateur est facultative. Vous pouvez l’éteindre lors de l’installation ou dans le panneau des paramètres.
« Les utilisateurs ont toujours eu la possibilité de refuser de partager des données avec Jumpshot., En juillet 2019, nous avions déjà commencé à implémenter un choix d’opt-in explicite pour tous les nouveaux téléchargements de notre AV (antivirus), et nous incitons également nos utilisateurs gratuits existants à faire un choix explicite, un processus qui sera achevé en février 2020 », a déclaré la société.
en effet, lorsque vous installez L’antivirus Avast ou AVG sur un PC Windows, Le produit vous montrera un pop-up qui demande: « ça vous dérange de partager des données avec nous? »La fenêtre contextuelle vous indiquera ensuite que les données collectées seront dépersonnalisées et agrégées afin de protéger votre vie privée.,
cependant, aucune mention n’est faite sur la façon dont les mêmes données peuvent être combinées avec d’autres informations pour connecter votre identité à l’historique du navigateur collecté. La fenêtre contextuelle ne mentionne pas non plus comment Jumpshot peut conserver l’accès aux données pendant trois ans. Pour ce détail, vous devrez regarder les petits caractères dans la Politique de confidentialité D’Avast.
en conséquence, les utilisateurs qui voient la fenêtre contextuelle peuvent supposer que leurs données seront protégées et s’y inscrire alors qu’en réalité, les politiques de confidentialité relatives aux produits technologiques sont souvent délibérément vagues et simplifiées. « Vous voulez que le consommateur achète ou utilise votre produit., Mais vous ne voulez pas non plus leur faire peur », a déclaré Kim Phan, associée au cabinet juridique Ballard Spahr, qui travaille au sein du groupe confidentialité et sécurité des données.
Le souci est que les politiques peuvent devenir opaques. « Il est plus difficile de comprendre ce que vous faites », a-t-elle ajouté. « Les gens ne pourront pas comprendre les détails, ou ils penseront que vous essayez de cacher quelque chose. »
dans le cas D’Avast, la controverse autour des pratiques de collecte de données largement inconnues a suscité suffisamment d’examen que le sénateur américain Ron Wyden a décidé d’enquêter., « Les Américains s’attendent à ce que les logiciels de cybersécurité et de confidentialité protègent leurs Données, pas à ce qu’ils les vendent aux spécialistes du marketing », a-t-il tweeté à l’époque.
Dans un communiqué, Wyden a déclaré qu’il était encouragé Qu’Avast mette fin à la collecte de données via les extensions de navigateur de la société. « Cependant, je crains Qu’Avast ne se soit pas encore engagé à supprimer les données utilisateur collectées et partagées sans le consentement de ses utilisateurs, ou à mettre fin à la vente de données de navigation Internet sensibles », a-t-il ajouté., « La seule ligne de conduite responsable est d’être totalement transparent avec les clients à l’avenir, et de purger les données qui ont été collectées dans des conditions suspectes dans le passé. »
mise à jour 1/30: après que L’enquête conjointe PCMag-carte mère ait fait des vagues, y compris le sénateur Mark Warner réprimandant la FTC pour avoir laissé tomber la balle sur la surveillance, Avast a annoncé qu’il arrêterait les opérations à Jumpshot. « En tant que PDG D’Avast, je me sens personnellement responsable et je voudrais m’excuser auprès de toutes les parties concernées », a déclaré Ondrej Vlcek dans un communiqué.