Les données récupérées par les antivirus : télémétrie, documents, sites visitées

Comme toute application installée sur votre ordinateur, les antivirus peuvent collecter des informations ou données.
Celles-ci sont ensuite transmises aux serveurs de l’éditeur.
En général, les éditeurs d’antivirus utilisent ces données pour améliorer le produit ainsi que les protections.
Mais parfois, il peut les revendre pour monétiser surtout pour les antivirus gratuits.

Voici quelques informations autour de la récupération de données par les antivirus.

Les données récupérées par les antivirus

Les données récupérées par les antivirus et les éditeurs sont différentes.
On peut distinguer les données personnelles, des données non-personnelles.
Certaines de ces pratiques autour de cette collecte de données rejoignent les pratiques générales autour des applications comme :

• des données personnelles liées à un compte utilisateur. Ces informations peuvent être utilisées pour des campagnes marketing par email par exemple.
• des données non-personnelles récupérées par les clients antivirus (télémétrie, etc).

Comme toute application, l’éditeur récupère des données afin d’améliorer leurs produits.
Parmi les informations récupérées, on trouve souvent

• la version du système d’exploitation,
• la version du client antivirus,
• la configuration matérielle et logicielles.

A noter que la plupart des éditeurs de logiciels récupèrent ces données et informations à commencer par Microsoft avec Windows.
On appelle cela la télémétrie, plus d’informations : Télémétrie et collecte de données personnelles

Mais les éditeurs d’antivirus peuvent aller plus loin.

Le monde des logiciels malveillants (malwares) est en perpétuel mouvement.
Chaque jour, les attaquants mettent en ligne des milliers et des milliers de fichiers malveillant.
La protection proposée par les antivirus est en partie liée à la capacité des éditeurs de capter ces menaces, les analyser et ajuster les protections en conséquence.
Cela nécessite la mise en place de DataCenter qui vont analyser ces menaces de manière automatique (IA) mais aussi par des laboratoires.

La remontés d’informations et de données provenant des clients antivirus est une source importante pour alimenter ces bases de données gigantesques.
Les éditeurs d’antivirus peuvent, au final, proposer des protections Cloud Antivirus et Détections ProActives / Comportementales.

Pour les antivirus gratuits, il s’agit de monétiser sur ces derniers.
Ces aspects ne sont pas nouveau et déjà abordés dans l’article : La gratuité sur internet

Les données collectées par les antivirus

Se posent alors la question de savoir, quelles sont les données recueillis par ces clients antivirus.
Dans le cas d’un ordinateur grand public, cela peut-être gênant, imaginer alors pour une entreprise.
Se mêle aussi la politique, Washington soupçonnant les renseignements russe d’utiliser Kaspersky pour espionner les entreprises occidentales.

Les comptes clients

On distingue alors plusieurs types d’informations.
Les données clientes comme votre adresse nom, prénom, adresse email systématiquement demandées lors de la création d’un compte chez l’éditeur.
Ces comptes sont devenus obligatoires lorsque l’on doit enregistrer une version gratuite ou pour obtenir une version d’essai.
Parfois cela permet de créer des fiches clientes pour des campagnes de marketing futures.

Se posent comme tous les services internet, le problème de la sécurité des données.
En effet elles font souvent l’objet de piratage ou de perte par négligence.

Enfin on peut aussi les revendre à un tiers.
Cela pose problème car on ne maitrise plus alors ses données personnelles.

La télémétrie

En effet les clients antivirus installés sur les ordinateurs récupèrent beaucoup d’informations.
Cela à travers la télémétrie.
Elles sont ensuite transmises aux serveurs de l’éditeur.

Voici le type de données que l’éditeur peut récupérer :

• Les informations matériels et logiciels :
  • Version de Windows et de l’antivirus
  • Le nom de l’ordinateur
  • La configuration matérielle (CPU, RAM, résolution écran, etc)
  • L’adresse IP locale et les informations déductibles à partir de celle-ci (FAI, Géolocalisation, etc)
  • Type de connexion (large, mobile, etc)
  • Le nom d’utilisateur Windows
  • Statistiques sur l’utilisation du client antivirus (configuration etc)
• Le nom de la menace dans une détection. Cela, souvent à but statistique
• Les URLs visitées
• Le nom et hash d’un fichier (ou une partie du fichier) malveillant ou non malveillant. Seuls les exécutables sont transmis ou tout type de fichiers incluant des documents.
• données d’un email malveillant

Par exemple l’antivirus Avast! récupère pas mal d’informations comme :

• les URLs visitées ainsi que les recherches WEB effectuées
• des informations sur l’émetteur d’un mail quand celui-ci est détecté comme malveillant
• L’onglet utilisé dans le navigateur WEB
• Comment vous êtes arrivé sur la page : provenant d’une page WEB, via les favoris ou en saisissant l’adresse WEB.

Chez Avira, on récupère les exécutables mais pas les documents :

La transparence sur les données recueillies

La majorité des antivirus tentent de se conformer à la loi du pays de l’utilisateur.
Ainsi, dans les conditions d’utilisation de l’application (EULA), on trouve les détails de la collecte de données.
Ces informations sont plus ou moins détaillées et explicites.
Certains éditeurs vont un peu plus loin en ouvrant une fenêtre durant l’installation en demandant, si le client antivirus doit alimenter leurs bases de données.

Exemple avec les conditions d’utilisation de Malwarebytes qui récupèrent la géolocalisation :

Et puis, il y a la transparence déguisée ou la divulgation et les méthodes utilisées se retrouvent au milieu de conditions d’utilisation avec plus de 5000 mots.
Enfin certains éditeurs n’ont des conditions d’utilisation qu’en langue anglaise, ce qui nuit à la compréhension.

Parfois, on arrive à des interrogations, par exemple, dans les conditions d’utilisation d’Avast!.
Mais il n’est pas mentionné que les données sont revendues à un tiers.
Pourtant sur son blog, Avast! se vante de pouvoir dresser des habitudes de consommation par états.
Cela grâce à la société Jumpshot spécialisés dans le tracking et marketing.

Début Décembre 2019, l’extension s’est faite suspendre par Mozilla.
En effet, elle collecte trop de données : Extension Avast! et AVG : collecte de données

Les risques autour de la récupération de données

Les antivirus récupèrent beaucoup d’informations depuis les extensions ou le client.
D’après les conditions d’utilisation, ces derniers les anonymisent, soit en amont, soit en aval ou les deux.
C’est à dire qu’ils retirent toutes les données personnelles.
Cela consiste à travers des algorithmes à nettoyer ces données de toutes informations personnelles.
Mais ces algorithmes ne sont pas infaillibles et certaines données personnelles peuvent rester.
On peut imaginer toutefois, que ces éditeurs, dans leurs sérieux vérifient de temps en temps et nettoient ce qu’il faut.

On comprend aussi que ces échanges de données reposent sur la confiance, rien n’empêche à un éditeur de menteur pour revendre ces données sous le manteau.
C’est par exemple ce qui est arrivé avec WOT avec la découverte de reventes de données personnelles en novembre 2016 : WOT et la violation de la vie privée

Revente de données

Cette revente peut notamment être une source de revenus pour les antivirus gratuits.
L’article suivant aborde ces aspects : antivirus gratuits.

Ainsi AVG récupère les informations internet et l’utilisation de vos applications pour monétiser ces informations : La politique de confidentialité d’AVG

Si l’on se réfère au paragraphe précédent, Avast! semble aussi revendre des données anonymisées à des sociétés marketing.
Mais cela, n’est pas clairement spécifié dans les conditions d’utilisation

Les antivirus gratuits peuvent aussi utiliser des services tiers qui collectent les données statistiques de l’application.
Par exemple Avast! SafePrice fonctionne de cette manière, il semble que ce soit aussi le cas d’Antivir Shopping.

Chez Avira, c’est Mixpanel qui gère les données collectées.
Plus d’informations : AVIRA et MixPanel
Ci-dessous, les informations sur la configuration de Windows envoyées à Mixpanel.
L’antivirus les anonymisent mais un identifiant unique semble-être utilisé.

Les accords tiers

Enfin, dommage collatéraux toujours les antivirus gratuits qui peuvent proposer et modifier les moteurs de recherche des navigateurs internet sous couvert de moteur plus sécurisés.
Il s’agit d’un accord entre l’éditeur de l’antivirus et le moteur de recherche. En effet l’éditeur gagne de l’argent sur le volume d’internautes utilisant le moteur de recherche.
On propose alors des moteurs dit plus sécurisés, c’est souvent pire, car ces derniers proposent des publicités faisant la promotion de PUP.
Ces moteurs de recherche récupèrent alors les informations de surf pour afficher des publicités ciblées.

Liens autour de la télémétrie

Enfin les liens autour de la collecte des données et télémétrie :

• Pistage utilisateur et Web Tracking sur internet
• Windows 10 : keylogger, espionnage, mouchards etc
• Windows 10 : Confidentialité et mouchards