À la fin du mois d’octobre, Wladimir Palant, développeur principal de l’extension de blocage de publicité Adblock Plus, publiait sur son blog un post détaillant le comportement de plusieurs extensions Firefox proposées par Avast.
publicité
Extensions trop bavardes
Ces extensions avaient en effet la fâcheuse habitude de collecter les historiques de navigation des utilisateurs dans son post, Wladimir Palant analysait le fonctionnement de ces extensions et, en le comparant avec celui de la concurrence, expliquait que cette collecte de donnée n’était pas nécessaire au fonctionnement de l’application.
La plainte du développeur a trouvé une oreille favorable du côté des équipes de Firefox : lundi, ceux-ci ont supprimé quatre extensions proposées par Avast sur le magasin d’extension officiel. Celles-ci n’ont pas été blacklistées par Mozilla et elles continuent de fonctionner pour les utilisateurs qui les auraient installées, mais Mozilla ne les propose plus au téléchargement. Les extensions concernées sont Avast Online Security, Avast SafePrice, AVG Online Security et AVG SafePrice. Le comportement des extensions, qui communiquaient aux serveurs d’Avast l’historique de navigation des utilisateurs était en effet en contradiction avec le code de bonne conduite des extensions promu par Mozilla pour les extensions de sa plateforme, et ce même si les données étaient effectivement anonymisées.
Contacté, Avast explique avoir été informé de ce retrait et assure que ses équipes travaillent avec Mozilla pour proposer une nouvelle version des extensions. L’éditeur se défend en expliquant qu’il est nécessaire pour le fonctionnement de Avast Security Tool qu’il collecte les données l’historique de navigation afin de proposer ces fonctionnalités. Avast ne collecte ni ne stocke l’identifiant de l’utilisateur pour cela. » Avast regrette néanmoins le délai laissé par Mozilla pour résoudre le problème : moins de 12 heures.
Les extensions incriminées ont également été retirées de l’offre d’extension pour le navigateur Opera, mais pas sur Chrome comme le remarque Palant.
Les datascientists ont faim
L’épisode ne pourrait être qu’une anecdotique passe d’armes entre une entreprise et des défenseurs de la vie privée, mais il met en lumière la position parfois ambiguë des éditeurs de logiciels de sécurité dès lors qu’il s’agit de protection des données personnelles. Nous vous l’expliquions quelques semaines plus tôt : Avast entend conquérir de nouveaux marchés pour booster sa croissance, et au travers de plusieurs acquisitions, souhaite s’imposer comme un nouvel acteur sur le marché de la protection de la vie privée.
Dans le même temps, Avast souhaite développer son utilisation de l’intelligence artificielle. Ce n’est pas pour rien que la marque a tout récemment recruté Michal Pěchouček en tant que CTO : ce chercheur tchèque dirige également le centre d’intelligence artificielle de l’université technique de Prague, avec laquelle Avast dispose d’un partenariat.
Le développement des outils d’intelligence artificielle (terme fourre-tout qui désigne pêle-mêle le machine learning, le deep learning et autres) est une ressource précieuse pour les éditeurs antivirus : l’essentiel de leur travail consiste en effet à identifier et classer les URL et fichiers malveillants détectés par leurs logiciels afin de pouvoir produire des outils de détection efficace et à jour. Pour ce type de tache, les technologies d’intelligence artificielle sont toutes trouvées : cela coûte bien moins cher de développer un modèle mathématique dédié à l’analyse automatique que d’embaucher des hordes d’analystes et de chercheurs en sécurité pour le faire manuellement.
Mais si l’IA permet de faire baisser les coûts de mains-d’oeuvre, elle est en revanche particulièrement gourmande en matière de données : pour affiner et parfaire les modèles de détection, les modèles doivent être entraînés sur des jeux de données aussi réalistes que possible. Dans ce contexte, l’historique de navigation des utilisateurs est une donnée précieuse pour entraîner des modèles. Pour Michal Pěchouček, que nous avions interrogé à ce sujet au début du mois de novembre, la tension entre protection de la vie privée et appetit pour les données est un sujet de premier ordre : « C’est avant tout un challenge technique, nous devons disposer d’outils d’anonymisation et de protection des données que nous collectons.
Mais il y a aussi la question de l’utilisation de ces données : certaines entreprises utilisent les profils privés des utilisateurs pour leur vendre de la publicité. Avast l’utilise pour protéger leur vie privée et améliorer leur sécurité. C’est un modèle économique différent, personne chez Avast n’est payé pour exploiter les données des utilisateurs de façon intrusive. Notre utilisation des données vise à proposer à nos utilisateurs de meilleurs outils de détection. »
Au total, Avast compte aujourd’hui dans ses rangs une centaine de datascientists travaillant sur l’amélioration des modèles et sur l’anonymisation des données utilisées. Avec une telle cohorte, il faut donc bien les nourrir de données fraîches sur le comportement des internautes. Et pour cela, Avast peut compter sur sa considérable base d’utilisateurs.
Drogués aux données
L’esclandre autour des extensions d’Avast met l’entreprise tchèque en lumière, mais l’éditeur d’antivirus est loin d’être le seul accroc aux données de télémétrie des utilisateurs. Il y a quelques années aux Assises de la sécurité, Cisco avait ainsi présenté la façon dont ils exploitaient les données de télémétrie de leurs utilisateurs pour identifier de nouvelles menaces, et si Microsoft revient aujourd’hui dans la course dans le secteur de la sécurité, c’est peut être également grâce aux données envoyées par les instances de Windows 10.
Sur son blog, Wladimir Palant fait valoir que l’extension Google Safe Browsing fait la même chose que celles d’Avast sans faire systématiquement remonter les données de navigation de l’utilisateur vers les serveurs de Google. Mais on peut aussi se dire que Google a d’autres alternatives pour récupérer l’historique de navigation des utilisateurs, que ce soit au travers de son moteur de recherche, de son navigateur, de son OS ou de ses cookies publicitaires.
Avast promet de proposer une version revue et corrigée de ses extensions, en accord avec les règles du store Firefox sur les extensions. C’est toujours bon à prendre, mais ça ne résoudra pas la contradiction entre protection de la vie privée et l’appétit des éditeurs de sécurité pour les données des utilisateurs.
Comments