Ondrej Vleck, déclare laconiquement « En tant que président-directeur général d’Avast, je me sens personnellement responsable, et je présente mes excuses à toutes les personnes concernées. » Ce propos fait suite aux révélations de PCMag US et MotherBoard qui ont mis à mal le dernier rempart fonctionnel de la confiance numérique : l’antivirus.

Comment ? En révélant la vente de données d’exploitation des clients d’Avast et AVG aux entreprises telles que Google, Pepsi, L’Oréal ou Microsoft. Si l’information est prétendue anonymisée au moment de la revente, il n’en demeure pas moins qu’elle a été vendue.
Avast est pourtant un grand éditeur connu avec une base installée de plusieurs millions d’utilisateurs dans le monde. On peut comprendre pourquoi : le logiciel est gratuit. Il est donc financé par la revente d’une donnée collectée, sous une forme ou une autre. En France, un grand nombre de PME et TPE exploitent ce moteur antiviral très concurrencé par McAfee. Ce dernier est également en pleine controverse suite à la révélation d’affaires sulfureuses liées à la drogue et à la conquête de la Maison-Blanche par son fondateur.


Service gratuit ou offre Freemium, attention aux pièges

Le point commun entre ces acteurs est la gratuité ou l’offre dite « Freemium » qui permet un usage gratuit avec des fonctionnalités limitées ou sur une période donnée. Ainsi, comme pour les solutions VPN (Virtual Private Network qui protège votre anonymat sur l’internet), l’utilisateur génère, malgré lui, la rémunération ainsi que la valeur du produit.

Mais il reste les géants, qui voient tout et à qui vous autorisez de tout voir sur votre ordinateur !
En attendant, il devient très compliqué de garder pleine et entière confiance à l’égard des éditeurs de solutions antivirales, au motif que ce petit logiciel indispensable reste le plus sensible de tous les programmes que nous pouvons installer sur nos ordinateurs, tablettes et smartphones.
L’antivirus s’installe dans une partie du système d’exploitation qui lui permet, non seulement de voir l’absolue totalité du trafic de données produit sur l’équipement, mais en plus d’intervenir sur la couche système en pleine autonomie. En effet, au nom du principe même de la protection accordée par la solution, celui-ci doit bénéficier de ce droit pour bloquer un logiciel malveillant quand il est détecté.
Autant dire que lorsqu’on installe un antivirus, que ce soit pour soi, sa famille ou son entreprise, il vaut mieux réfléchir à deux fois avant de le faire. La première question est de déterminer qui est le propriétaire, c’est-à-dire l’éditeur du logiciel. En fonction de la réponse à cette question, il est nécessaire de lire l’identité politique du programme, cette dernière étant implicitement liée à la politique du pays de résidence de la société qui le commercialise et qui le produit. Par exemple, si l’éditeur est russe, vous aurez la même transparence qu’avec un éditeur chinois ou indien, c’est-à-dire aucune. Dans la majorité des cas, il est américain et dans ce cas, vous n’avez par définition aucune souveraineté puisque le droit américain est ainsi fait. Il en est de même avec un éditeur implanté en Israël par exemple. Et en Europe, le problème se posera différemment parce que les éditeurs de solutions antivirales ne sont pas légion. Le français VirusKeeper est gratuit en version de base, et sinon il n’y a personne. Il faut aller entre Chicago et San Francisco pour dénicher les éditeurs, même européens.

 

La transparence d’un produit est tributaire de la politique de l’état hôte de la société qui le fabrique 

Alors, que reste-t-il comme offre neutre, politiquement claire et techniquement transparente ? À priori il n’y en a pas. Les majors du secteur comme Symantec (Norton), Sophos et Kaspersky (Interdit de vente au sein de l’administration américaine pour espionnage) sont payants avec des offres de services, mais ils sont tous un peu obscurs quand à leur mode opératoire. ClaMav, le seul éditeur gratuit et OpenSource, a le mérite d’être très transparent mais pas efficace si vous ne savez pas coder ! Il reste l’éditeur finlandais F-Secure qui est probablement le plus neutre qui soit compte tenu de la neutralité politique finnoise, et surtout sa législation sur le traitement et la collecte des données nominatives qui renvoie le règlement européen sur la protection des données (RGPD) au statut de règlement primitif. Mais techniquement, il n’y pas de transparence comme partout ailleurs. C’est d’autant plus dommageable que derrière les offres d’antivirus, ces mêmes éditeurs proposent souvent un VPN destiné à protéger votre trafic sur Internet.

Seulement, si vous payez un éditeur pour protéger votre trafic d’une part, et qu’il revend toutes les données générées de votre activité aux GAFAM d’autre part, à quoi bon se protéger ? Certes, le logiciel malveillant ne passera pas, car ils ont au moins le mérite d’être tous globalement efficaces, mais une révélation comme celle d’Avast transforme l’éditeur en fournisseur de logiciel malveillant, car revendre les données est interdit — du moins pour les Européens. Comment peut-on être certains que les autres ne font pas de même ?

La révélation de cette enquête n’est pas une surprise : le monde des éditeurs d’antivirus reste un monde très obscur et nous indique qu’il est encore possible de voler la confiance de millions d’utilisateurs sans se soucier des poursuites ou condamnations. Avast devrait perdre des millions d’utilisateurs, d’autres resteront clients par manque d’informations ou parce que leur vie privée n’a pas de signification sérieuse pour eux.
Ainsi, l’Europe ne pourrait-elle pas prendre l’initiative de produire un cadre certifiant un produit aussi sensible que l’antivirus ? En ces temps de Brexit, il suffirait que le label Europe naisse sans autre contrainte pour ne pas se voir taxer de trop réguler. Telle l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France qui certifie certains produits de sécurités en les testant et en vérifiant le code pour en autoriser la vente auprès des entreprises et organisations dites sensibles.

 

Faute ou trahison, quel éditeur peut prétendre être sérieux ? 

De nombreuses affaires nous prouvent que le législateur n’a pas encore compris la pertinence de réguler pour la forme ce milieu, et même si Bruxelles sait infliger des amendes, elle ne peut rien faire d’autre pour contribuer à construire la confiance numérique.

Ainsi Facebook a trahi ses 1,4 milliard de membres. Microsoft se positionne en victime comme Google et n’a pas su protéger les données de leurs millions de membres. Les plus grands acteurs du numérique, de WhatsApp à Apple en passant par Twitter ou eBay ont, à un moment ou à un autre, TOUS été mis en défaut ! La raison de ce défaut est toujours le même : il est lié à une erreur humaine, volontaire ou non. Et quand c’est volontaire, c’est une trahison de la confiance que nous, consommateur, leur accordons.

D’un côté les éditeurs sont donc loin d’être innocents. Les GAFAM sont les victimes et les entreprises comme les utilisateurs sont les dindons, car dans ce cercle vicieux, chacun se sert sauf l’usager.

Dernièrement, l’ONU à Genève déclare avoir été victime d’une cyber attaque, sans révéler quoi que ce soit. Le Ministère des Affaires étrangères français a vu sa base de données Ariane attaquée en 2019, celle-là même qui contient la totalité des informations personnelles de tous les Français expatriés. Bouygues est quant à lui victime en ce moment même d’un crypto locker. Au dernier trimestre, un grand média français a lui aussi été sévèrement attaqué. Les annonces s’accélèrent, la transparence apparat peu à peu, mais tout cela n’est que la partie visible de l’iceberg.
Cet iceberg numérique est proportionnellement aussi friable de confiance que sa taille est gigantesque. La confiance numérique devrait avoir un prix, une éthique et une valeur. Il s’agit d’un outil marketing redoutable, mais qui nous rappelle également sans jamais le dire franchement : si c’est gratuit, alors le produit c’est vous…