BrowserGate : LinkedIn scannait 6 000 extensions
Une enquête de Fairlinked e.V. publiée en avril 2026 révèle que LinkedIn analyse silencieusement les navigateurs des visiteurs à la recherche de 6 167 extensions Chrome et collecte 48 attributs d'empreinte matérielle à chaque visite, sans en faire mention dans sa politique de confidentialité. Ce scandale montre comment la surveillance dans le navigateur peut opérer avant même qu'un fichier soit téléversé.
VaultTools · 6 avril 2026
Photo sur Unsplash
Table des matières
- Ce qui s’est passé
- Ce que le script collecte
- La courbe de croissance : 1 252 % en deux ans
- Exposition juridique sous le RGPD, la directive ePrivacy et le DMA
- Ce que cela signifie pour les outils de fichiers dans le navigateur
- Sources
Ce Qui S’est Passé
Début avril 2026, Fairlinked e.V., une association européenne d’utilisateurs professionnels de LinkedIn, a publié une enquête technique détaillée révélant que LinkedIn injecte silencieusement un bundle JavaScript de 2,7 mégaoctets à chaque visite de page. Ce script sonde le navigateur du visiteur à la recherche de plus de 6 000 extensions Chrome spécifiques, collecte 48 caractéristiques matérielles et logicielles, chiffre l’empreinte obtenue et la transmet aux serveurs de LinkedIn avec chaque requête API effectuée pendant la session. LinkedIn appartient à Microsoft.
L’enquête a été reprise par BleepingComputer, Tom’s Hardware, The Next Web, Apple Insider et Cybernews. Fairlinked a publié ses conclusions sur browsergate.eu, qualifiant la pratique de « l’une des plus grandes opérations de collecte de données non déclarée de l’histoire d’internet commercial ».
Ce Que Le Script Collecte
Selon le rapport Fairlinked, le bundle JavaScript collecte deux catégories de données sans information ni consentement des utilisateurs.
La première catégorie est l’énumération des extensions. Le script sonde 6 167 extensions Chrome spécifiques en injectant des iframes masquées et en mesurant le comportement du navigateur. La liste de scan comprend 509 extensions de recherche d’emploi utilisées par 1,4 million de personnes au total, plus de 200 outils de vente et de recrutement qui concurrencent directement le propre produit Sales Navigator de LinkedIn, ainsi que des extensions liées à la santé et à la religion. La détection de cette dernière catégorie constitue une collecte de données de catégories particulières au sens de l’article 9 du RGPD.
La deuxième catégorie est le fingerprinting matériel. Le script enregistre la classe du processeur, la mémoire du dispositif, les dimensions de l’écran, le décalage horaire, l’état de la batterie et les capacités de stockage, soit 48 attributs distincts par visite.
L’empreinte chiffrée est jointe à chaque appel API effectué pendant la session. Fairlinked a constaté que les données collectées sont partagées avec au moins un tiers : HUMAN Security, une entreprise de cybersécurité américano-israélienne.
La justification officielle de LinkedIn est la détection d’extensions qui aspirent les données de sa plateforme en violation de ses conditions d’utilisation. LinkedIn a déclaré à BleepingComputer : « Pour protéger la confidentialité de nos membres, leurs données et assurer la stabilité du site, nous recherchons les extensions qui aspirent les données sans le consentement des membres. » Rien de tout cela n’est mentionné dans la politique de confidentialité de LinkedIn.
La Courbe De Croissance : 1 252 % En Deux Ans
L’étendue du scan de LinkedIn a grandi considérablement avant d’être documentée publiquement. En 2024, LinkedIn scannait 461 extensions. En février 2026, cette liste était passée à 6 167, soit une augmentation de 1 252 % en deux ans. La base d’utilisateurs installée cumulée pour l’ensemble des extensions scannées est estimée à 405 millions de personnes.
La rapidité de cette croissance suggère que l’opération de scan a largement dépassé son objectif déclaré de blocage des outils de scraping. L’inclusion de produits concurrents et d’extensions à catégories sensibles pointe vers un usage commercial secondaire.
Exposition Juridique Sous Le RGPD, La Directive ePrivacy Et Le DMA
Fairlinked soutient que ce comportement viole trois cadres réglementaires européens.
Au titre du RGPD, la collecte non déclarée de données de catégories particulières (santé, religion, opinions politiques) exige un consentement explicite au titre de l’article 9. LinkedIn ne dispose d’aucun tel consentement enregistré ni d’aucune exemption déclarée.
Au titre de la directive ePrivacy, le stockage ou l’accès à des informations sur le dispositif d’un utilisateur sans consentement est interdit. La technique d’énumération des extensions accède à l’environnement du navigateur sans déclaration, ce qui l’inscrit clairement dans le champ d’application de la directive.
Au titre du Digital Markets Act, LinkedIn opère comme un service de plateforme et est tenu de déclarer ses pratiques de pistage aux utilisateurs et aux régulateurs. L’absence totale de déclaration dans la politique de confidentialité de LinkedIn constitue une violation alléguée des exigences de transparence du DMA.
Fairlinked a déposé des plaintes formelles. L’autorité de contrôle chef de file de LinkedIn dans l’UE est la Commission irlandaise de protection des données. La campagne invite les utilisateurs à soumettre des plaintes individuelles via browsergate.eu afin d’accroître la pression réglementaire sur la DPC.
Ce Que Cela Signifie Pour Les Outils De Fichiers Dans Le Navigateur
BrowserGate illustre une menace qui opère avant qu’un fichier soit téléversé ou qu’un outil soit utilisé. Un service web peut collecter une empreinte détaillée de votre dispositif, de vos logiciels installés et de votre profil matériel simplement en chargeant son JavaScript. Ces données sont transmises aux serveurs du service et potentiellement à des tiers, que l’utilisateur effectue ou non une action sur la page.
Ce même environnement d’exécution JavaScript héberge tous les outils web ouverts dans un onglet de navigateur. Un service de conversion de fichiers, un éditeur PDF ou un compresseur d’images qui injecte des scripts de tracking non déclarés peut collecter des empreintes de dispositif dès le chargement de la page. Le fichier que l’utilisateur souhaitait traiter en toute confidentialité n’a pas encore quitté l’appareil, mais un profil d’identité numérique détaillé, lui, est déjà parti.
Le traitement local dans le navigateur via WebAssembly change ce modèle de menace. Les outils construits sur WebAssembly exécutent leur logique principale entièrement dans le bac à sable du navigateur. Ils n’effectuent aucun appel serveur pendant le traitement des fichiers, ne génèrent aucune transaction de téléversement et ne requièrent aucune confiance envers une infrastructure serveur. Un JavaScript transparent qui n’appelle aucun point de terminaison externe ne peut pas transmettre discrètement une empreinte à un tiers.
BrowserGate n’est pas une attaque inédite. C’est la documentation d’une collecte de données dissimulée qui opérait à grande échelle depuis au moins deux ans avant d’être mise en lumière. Pour les utilisateurs qui traitent des documents sensibles, des contrats ou des images dans le navigateur, c’est un exemple concret de ce que les architectures sans téléversement côté client sont conçues pour prévenir.
Sources
- LinkedIn secretly scans for 6,000+ Chrome extensions, collects data (BleepingComputer)
- LinkedIn is spying on you, according to a new ‘BrowserGate’ security report (Tom’s Hardware)
- LinkedIn is secretly scanning your browser for 6,000 extensions, and you weren’t told (The Next Web)
- Microsoft’s LinkedIn is scanning installed browser extensions without user permission (Apple Insider)
- LinkedIn secretly injects code to spy on your browser (Cybernews)
- Fairlinked e.V. : Campagne BrowserGate (browsergate.eu)
- LinkedIn Scans Browser Extensions on Every Visit (Winbuzzer)