Deutsch
English
Français
Español
- Partager :
Protection des données ou protection antivirus ?
Quel utilisateur privé lit donc en détail les interminables déclarations de protection des données lors de l’achat ou de l’installation de logiciels ? En particulier s’il s’agit d’un logiciel de sécurité. En effet, ce dernier ne promet pas seulement de nous mettre à l’abri des cyberattaques, mais aussi de protéger notre vie privée. Les experts en protection des données d’AV-TEST se sont frayé un chemin à travers la jungle des politiques de confidentialité. Étant donné les résultats de l’analyse, il est permis de se demander si le capital de confiance des utilisateurs est justifié.
sur le banc d‘essai
Une protection complète requiert un accès complet
Presque tous les fabricants de suites de sécurité utilisent des énoncés tels que « Protégez vos données et votre vie privée » ou « Protection de votre identité » pour convaincre des utilisateurs intéressés d’acheter leurs produits. Compte tenu de la situation actuelle concernant les menaces en ligne, les suites de sécurité Internet sont passées de simples antivirus avec pare-feu à des solutions de protection complètes. Il y a longtemps qu’elles ne servent plus seulement à défendre les ordinateurs et les données contre les attaques de programmes malveillants et de hackers. Les comptes en ligne et les profils sur les réseaux sociaux gérés par le biais d’ordinateurs, de tablettes et de smartphones sont au centre de l’attention d’attaquants très divers et doivent par exemple être protégés contre les tentatives d’hameçonnage (phishing). De plus, les entreprises publicitaires tracent les internautes de plus en plus agressivement via des logiciels de pistage qui espionnent secrètement le comportement de l’utilisateur, sa navigation et la configuration de ses appareils ainsi que d’autres données sensibles (avec des logiciels potentiellement indésirables ou PUA).
Un bon logiciel de protection ne doit donc aujourd'hui plus seulement parer les attaques, mais aussi empêcher les données sensibles d’être collectées involontairement. Afin de remplir toutes ces fonctions, les logiciels de sécurité doivent avoir un accès suffisant au système à protéger et par conséquent aux données personnelles de ses utilisateurs. Étant donné la menace réelle qui pèse, l’usager n’a pas vraiment d’autre choix que de croire en la promesse de protection du fabricant et de lui conférer un large accès à son système et à toutes ses données. Cet accès doit cependant être soumis à la condition que ces droits d’accès ne servent qu’à identifier et à parer des menaces éventuelles.
quelles données sont collectées.
Rares sont ceux qui en parlent aussi ouvertement que McAfee (Intel Security).
les contrôles de lisibilité tels que le Readability Test Tool de webpagefx.com montrent que de nombreuses déclarations de protection des données sont presque incompréhensibles pour le commun des mortels. (source : www.webpagefx.com/tools/read-able/)
claires et surtout courtes. (source : https://iapp.org/)
Plus de 50 % se moquent des CGV
Comme pour tout autre logiciel, l’acceptation des CGV et de la déclaration de protection des données est placée en amont de l’installation d’un programme de protection. Il est impossible d’installer et d’utiliser le logiciel sans cette étape. La promesse de protection du fabricant choisi prend effet à partir de ce moment. D’après une étude publiée en 2014 et commanditée par la Verbraucherzentrale Bundesverband (vzbz), la fédération allemande des associations de consommateurs, 53 % des personnes sondées donnent leur accord aux CGV sans même les avoir lues lors de l’installation d’un logiciel. Ce taux de clics « zappant » les CGV devrait être encore plus élevé dans le cas des logiciels se vantant entre autres de protéger les données personnelles. En effet, les utilisateurs s’attendent ici à ce que les fabricants respectent leur propre argument de vente, à savoir la protection de leurs données personnelles.
26 logiciels de sécurité sur le banc d’essai
Lors d’une analyse sophistiquée, l’institut AV-TEST a examiné les politiques de confidentialité rédigées en anglais de 26 programmes antivirus et nous fournit ainsi un aperçu complet du marché. Dans les faits, seules 24 déclarations de protection des données ont été vérifiées car deux suites de sécurité ne présentaient absolument aucune politique de confidentialité, que ce soit sur le site du fabricant ou lors de l’installation du logiciel.
L’analyse portait essentiellement sur les droits que les fournisseurs de logiciels de protection s'octroient concernant leurs clients par le biais de leur déclaration de protection des données. Ce faisant, les testeurs ont particulièrement vérifié
• quelles données les fabricants se donnent légalement le droit de collecter,
• quels droits ils s’arrogent pour l’utilisation des données,
• quels droits ils attribuent aux utilisateurs afin d’empêcher ou de limiter l’enregistrement de données ou pour qu’ils puissent tout simplement en être informés.
En passant les interminables déclarations légales au peigne fin, les experts en confidentialité ont différencié plusieurs types de données à collecter. Les fournisseurs exigent ainsi d’accéder à des données sur les utilisateurs eux-mêmes, le comportement d’usager ainsi que sur l’appareil concerné. Ce faisant, cette considération concerne explicitement les droits que les fabricants s’attribuent pour sauvegarder et utiliser les données. Les testeurs n’ont pas vérifié si ces données sont réellement collectées. Cette question ainsi que d’autres doivent maintenant être résolues lors de discussions à venir avec les fabricants.
Une collecte bien plus vaste que nécessaire
Dans presque toutes les politiques de confidentialité, les fabricants s'octroient de nombreux droits d’accès à des données qui n’ont pas lieu d’être pour le bon fonctionnement du logiciel de sécurité. D’après les fournisseurs, ces données servent à optimiser les produits ainsi qu’à commercialiser d’autres produits de ces fabricants ou de leurs entreprises partenaires. Par le biais de la déclaration de protection des données, chacun des fournisseurs examinés se donne en effet le droit de transmettre les données enregistrées à des tiers.
Concernant l’utilisateur lui-même, les fournisseurs collectent généralement les coordonnées comme le nom, l’adresse e-mail et les données d’achat ou de paiement. Les fabricants s’intéressent également à d’autres coordonnées, dont le numéro de téléphone. Ces données sont certainement utiles pour proposer d’autres produits à l’utilisateur, mais ne sont pas nécessaires pour le fonctionnement du programme. Cela démontre entre autres que ces données ne sont pas collectées par tous les fabricants.
Enregistrement des préférences sexuelles et des empreintes digitales
De nombreux fournisseurs dépassent cependant les bornes : les analyses d’AV-TEST ont montré que les fabricants se donnent même accès aux données biométriques enregistrées sur l’ordinateur concerné. L’examen des programmes n’a pas permis d’identifier l’intérêt des empreintes digitales pour un programme antivirus. Même les habiles experts en marketing des fabricants voulant avoir accès à ces données devraient avoir du mal à expliquer en quoi des informations sur le sexe, la profession, la race et l’orientation sexuelle d’un utilisateur peuvent aider un antivirus à chasser des programmes malveillants.
Utilisateurs sous surveillance
Les fabricants n’y vont pas non plus avec le dos de la cuillère en ce qui concerne le comportement d'utilisateur. 15 des 24 fabricants demandent à avoir accès à l'historique de navigation de leurs utilisateurs. Six d’entre eux veulent accéder à leurs requêtes de recherche. Cinq fournisseurs s’octroient le droit d’analyser les e-mails. Deux fabricants envisagent même un accès total au carnet d’adresses personnel. De plus, les fournisseurs d’antivirus s’intéressent aussi aux données de leurs clients sur les réseaux sociaux comme les données de leurs comptes ainsi que leurs publications. Un fabricant se donne même le droit de publier des messages au nom de l’utilisateur. Certains veulent aussi participer aux chats et accéder à l’historique du chat.
Contrôle total des appareils
La fièvre collectionneuse de données des fabricants s’explique le plus facilement concernant les informations relatives à l’appareil à protéger et aux applications utilisées dessus. En effet, c’est ici qu’il faut éviter que des programmes malveillants sévissent en se déguisant en applications normales. La collecte de données de base comme l’adresse IP, le numéro d’identification de l’appareil, le système d’exploitation et les logiciels installés est donc compréhensible même si tous les fabricants n’exigent pas d’accéder à ces caractéristiques d’appareil dans leur déclaration de protection des données. L’enregistrement des données GPS (5 des 24 fabricants) ainsi que la localisation Wi-Fi (4 des 24 fabricants) peuvent également être justifiés pour les fonctions de localisation des appareils perdus ou volés. Cependant, les utilisateurs doivent être conscients que cette protection des appareils exige de sacrifier leur vie privée concernant la traçabilité de leurs propres mouvements quotidiens.
Dans 10 des 24 déclarations de protection de données, les fabricants se réservent le droit d’établir des « statistiques d’utilisation ». Cependant, il n’est ici pas clairement défini quelles données sont saisies, s’il s’agit de l’utilisation de l’antivirus ou de l’appareil ou encore de la collecte d’autres données complètement différentes. Sur ce point, comme de nombreux autres, les instructions des déclarations de protection de données de tous les fabricants sont extrêmement vagues.
La protection des données doit être compréhensible et transparente
Il n’est pas étonnant que presque personne ne lise les CGV et les déclarations de protection des données. D’une part, les utilisateurs sont découragés par la simple quantité de pages. Dans le cadre de cette analyse, la longueur moyenne d’une politique de confidentialité était en effet de 12 pages. D’autre part, il semble que les fabricants font souvent exprès de ne pas être compréhensibles.
Un contrôle supplémentaire de la lisibilité réalisé avec des programmes d’analyse spécialisés a démontré que beaucoup de déclarations de protection des données étaient trop complexes. Autrement dit : les déclarations sont presque incompréhensibles pour le commun des mortels. De longues phrases et un grand nombre de termes techniques rendent ces textes déjà très longs encore plus difficiles à lire.
De plus, la plupart des fabricants ne répondent pas à des questions importantes telles que le type et la durée de sauvegarde des données. Où et pendant combien de temps sont enregistrées les données ? Sont-elles cryptées et si oui, comment ? Quelles données sont transmises à des tiers et quels sont les partenaires du fabricant qui les obtiennent ? De nombreux fabricants de produits de sécurité n’apportent pas de réponse satisfaisante à toutes ces questions dans leurs déclarations de protection des données.
Point trop n’en faut
De manière générale, nous ne pouvons que conseiller aux fabricants de raccourcir leurs déclarations de protection des données et de les rendre plus compréhensibles. Cette revendication est également formulée depuis longtemps par l’IAPP, l‘association internationale des professionnels de la protection de la vie privée sise aux États-Unis. En Allemagne aussi, le ministère fédéral de la Justice et de la Protection des Consommateurs a réagi l’année dernière dans le cadre du sommet informatique national. Depuis sa présentation en novembre, le ministère propose sur son site un tel modèle de déclaration de protection des données à la fois succincte et compréhensible.
De plus, les fabricants de programmes de sécurité promettant à leurs clients de protéger leur vie privée peuvent se présenter comme un logiciel de confiance en minimisant les données personnelles collectées et sauvegardées. D’une part, éviter de collecter des données constitue évidemment le principe fondamental du droit relatif à la protection des données. D’autre part, les fabricants pourraient aussi utiliser le fait de collecter un minimum de données personnelles comme argument publicitaire.
Moins de données, plus de sécurité
Anett Hoppe
experte en sécurité informatique chez AV-TEST
Les fournisseurs de logiciels de sécurité jouissent en général de la confiance de leurs clients et disposent d’un large accès à leur système ainsi qu’à leurs données. Anett Hoppe, experte en sécurité informatique chez AV-TEST, estime que ces fabricants devraient se rendre dignes de ce capital de confiance en rédigeant des politiques de confidentialité claires.
De nombreux utilisateurs partent du principe qu’un logiciel antivirus ne défend pas seulement la sécurité de l’utilisateur, mais aussi sa vie privée. Ont-ils raison ?
Il n’existait jusqu’à présent aucune étude à ce sujet. Chez AV-TEST, nous recevons certes régulièrement des questions d’utilisateurs inquiets à propos d’e-mails suspects par exemple ou de fonctions douteuses de certains programmes. Les demandes concernant l’utilisation des données d’utilisateurs par les fournisseurs de logiciels et services de sécurité nous parviennent quant à elles plutôt de la part d’entreprises et des autorités. Cependant, de plus en plus d’utilisateurs privés critiques nous demandent aussi qui a accès à leurs données et quelle utilisation en est faite. Les fabricants des logiciels de sécurité pour particuliers jouissent toutefois encore et toujours d’un énorme capital de confiance de la part de leurs clients. Comme le démontre notre analyse, cette confiance est pourtant accordée à tort dans certains cas.
Quelles données sont collectées et quel usage en est fait ?
Certaines des données collectées sont nécessaires pour qu’un logiciel de protection puisse remplir sa fonction. Même les fabricants inventifs devraient néanmoins se trouver en panne d’explications concernant l’intérêt du sexe et de la date de naissance de l’utilisateur pour assurer le fonctionnement d’un logiciel antivirus. Il est important de différencier les données auxquelles un fabricant veut accéder d’après sa politique de confidentialité et les données qu’il collecte dans les faits. Notre analyse identifie les droits que les utilisateurs s’octroient vis-à-vis de leurs clients.
Quelles sont les formulations auxquelles je dois faire attention et quels critères peuvent orienter mon choix ?
Pour s’orienter, nous recommandons tout d’abord de se poser les questions relatives à la protection des données lors de l’enregistrement et de la configuration des produits. Cela commence par les informations personnelles demandées lors de l’installation, car il arrive souvent que tous les champs ne soient pas obligatoires, mais qu’ils soient seulement remplis par habitude. De plus, les utilisateurs devraient au moins survoler la déclaration de protection des données. Seuls ceux qui la connaissent peuvent décider si le carnet d’adresses ou les photos privées doivent vraiment être téléchargés sur les serveurs d’un fabricant.
