La fermeture de Jumpshot prend effet immédiatement, a confirmé le P.-D.G. d'Avast, Ondrej Vlcek.
Active depuis 2015, la filiale Jumpshot collectait et revendait des données web des utilisateurs d'Avast à de grandes entreprises.
Avast tourne le dos à la collecte de données
Nous évoquions mardi dernier l'enquête menée par Motherboard (Vice) et PCMag sur le business controversé d'une filiale d'Avast : Jumpshot.Cette dernière était accusée de revendre les données de navigation web des utilisateurs de la solution gratuite d'Avast à de grandes entreprises, parmi lesquelles Google, Microsoft, Pepsi ou Condé Nast.
Pour mettre un terme à la polémique, l'éditeur de logiciel a annoncé, jeudi 30 janvier 2020, la liquidation de Jumpshot, avec effet immédiat. « Je suis arrivé à la conclusion que l'activité de collecte de données n'est plus conforme à nos priorités en matière de respect de la vie privée », a déclaré Ondrej Vlcek, le P.-D.G. d'Avast.
100 millions de terminaux
Depuis 2015, Jumphshot récoltait les données web provenant de 100 millions de terminaux. Comparé au nombre d'utilisateurs mensuels d'Avast (435 millions, selon la compagnie), un peu moins d'un utilisateur mensuel sur quatre du service antivirus était donc concerné par cette collecte de données.Lors de l'installation de l'antivirus, les utilisateurs qui cochaient un opt-in acceptaient la collecte de leurs données de navigation web par Jumpshot. Parmi elles figuraient des recherches Google, des données GPS sur Google Maps, des vidéos YouTube ou le détail de visites sur des sites pornographiques.
Si Jumpshot affirmait que les données revendues étaient anonymisées, l'enquête de Motherboard et PCMag met en doute la capacité de la filiale à dépersonnaliser réellement ces données. « La plupart des menaces posées par la désanonymisation - qui consiste à identifier des personnes - proviennent de la capacité à fusionner les informations avec d'autres données », avertit Günes Acar, chercheur à la Katholieke Universiteit te Leuven.
En clair, une entreprise qui recouperait des données Jumpshot avec sa propre base de données pourrait identifier certains de ses clients. Finalité : ne jamais cocher les opt-in avant de les avoir lus !
Sources : Tom's Hardware, Vice