IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

BrowserGate : LinkedIn scanne secrètement 6 000 extensions de vos navigateurs à chaque connexion... et vous ne pouvez pas l'arrêter
Déclenchant une controverse et deux recours collectifs

Le , par Stéphane le calme

97PARTAGES

12  0 
BrowserGate : LinkedIn scanne secrètement 6 000 extensions de vos navigateurs à chaque connexion... et vous ne pouvez pas l'arrêter,
déclenchant une controverse et deux recours collectifs

Chaque visite sur LinkedIn depuis un navigateur basé sur Chromium déclenche, à votre insu, un inventaire silencieux de vos extensions installées, plus de 6 000 au total. Ce que la plateforme présente comme un dispositif anti-scraping, ses détracteurs le qualifient de système de profilage de masse. Deux recours collectifs ont été déposés en Californie début avril 2026, et les régulateurs européens commencent à s'intéresser de près au dossier.

Tout commence par un fichier JavaScript de 2,7 mégaoctets. Invisible pour l'utilisateur ordinaire, ce bundle est injecté dans chaque page LinkedIn chargée depuis un navigateur Chromium (Chrome, Edge, Brave ou Opera). Ce code effectue un inventaire silencieux des extensions installées sur le navigateur du visiteur, collecte 48 caractéristiques matérielles et logicielles de son appareil, puis chiffre l'empreinte numérique ainsi constituée avant de l'attacher à chaque requête API de la session.

Le code utilise deux mécanismes distincts : d'une part, une liste codée en dur d'identifiants d'extensions, chacun sondé via une requête vers l'URL interne chrome-extension:// correspondante ; d'autre part, un mécanisme passif baptisé "Spectroscopy" qui parcourt l'arborescence DOM de la page pour détecter toute trace d'extension ayant modifié le contenu, même si celle-ci ne figure pas sur la liste. Autrement dit, même les extensions inconnues de LinkedIn peuvent être identifiées si elles laissent une empreinte dans la page.

L'ampleur de l'opération a considérablement évolué au fil du temps : LinkedIn scannait 38 extensions en 2017, 461 en 2024, et plus de 6 167 en février 2026, soit une augmentation de 1 252 % en deux ans seulement. BleepingComputer a confirmé indépendamment que le script était actif lors de ses tests début avril.

Fairlinked, l'enquêteur européen à l'origine de l'affaire

C'est l'association allemande Fairlinked e.V., qui se présente comme un groupement d'utilisateurs commerciaux de LinkedIn, qui a mis ce dispositif en lumière dans un rapport intitulé "BrowserGate", publié début mars 2026. L'enquête alléguait que le site de LinkedIn exécutait du code JavaScript caché scannant les navigateurs des visiteurs pour recenser les extensions installées, et transmettait ces données à des tiers.

Parmi les données potentiellement collectées figurent des informations sensibles : croyances religieuses, opinions politiques, conditions de santé, ou encore le fait qu'un utilisateur cherche activement un emploi. La liste inclurait notamment une extension de filtre de contenu islamique, un outil de marquage politique anti-sioniste, ou encore une application conçue pour les personnes neuroatypiques. Autant de données qui, croisées avec les profils réels et nominatifs de LinkedIn, permettraient selon Fairlinked de constituer des profils individuels extrêmement précis.

Selon le rapport, LinkedIn partagerait ces données avec des entreprises tierces, dont HUMAN Security, une société américano-israélienne de cybersécurité fondée par d'anciens membres des renseignements militaires israéliens. Cette allégation, l'une des plus graves du dossier, n'a pas été explicitement démentie par LinkedIn.

L'association souligne également une dimension concurrentielle : parmi les 6 000 extensions scrutées, plus de 200 sont des outils concurrents directs des produits commerciaux de LinkedIn. Dans un contexte où la plateforme est désignée comme « contrôleur d'accès » (gatekeeper) au titre du règlement européen sur les marchés numériques (DMA), qui garantit aux entreprises le droit de construire des outils tiers sur la plateforme, cette pratique prend une dimension stratégique troublante.


Deux recours collectifs en Californie

Le premier recours collectif a été déposé le 6 avril 2026 devant le tribunal fédéral du district nord de Californie, par le cabinet J.R. Howell, au nom de Jeff Ganan, un commercial basé dans le comté de Los Angeles. Un deuxième recours similaire, porté par Nicholas Farrell, a suivi le lendemain.

Le premier recours invoque notamment la loi fédérale sur la protection des communications électroniques (Electronic Communications Privacy Act) et la loi californienne sur l'accès frauduleux aux données informatiques (California Comprehensive Computer Data Access and Fraud Act). Les plaignants réclament des dommages et intérêts, une injonction de cessation de la pratique, et la suppression des données illicitement collectées.

L'avocat J.R. Howell a tenu à préciser que les allégations de son cabinet reposent sur sa propre analyse du code côté client de LinkedIn, et non uniquement sur le rapport Fairlinked. Dans un communiqué, il a déclaré que ce système peut identifier la religion d'un utilisateur, ses opinions politiques, un éventuel handicap, et même s'il cherche secrètement un emploi, le tout en liant ces informations à une identité réelle et à un employeur connu.

La défense de LinkedIn : sécurité, pas espionnage

LinkedIn n'a pas nié le fait de scanner les extensions de navigateur. Sa ligne de défense repose sur deux axes : la légitimité de la pratique et la suffisance de sa divulgation.

« C'est un château de cartes construit sur une fabrication. Nous divulguons bien dans notre politique de confidentialité que nous scannons les extensions de navigateur, afin de détecter les abus et d'assurer la stabilité du site », a indiqué la plateforme à PCMag.

La politique de confidentialité de LinkedIn mentionne en effet l'utilisation de cookies et de « technologies similaires » pour collecter des informations sur le navigateur et ses modules complémentaires... mais sans jamais préciser l'existence d'une liste de 6 000 extensions cibles, ni d'un mécanisme de type "Spectroscopy". L'un des recours collectifs souligne qu'aucun utilisateur raisonnable ne pourrait, en lisant des formulations aussi génériques, comprendre que LinkedIn interroge activement son navigateur pour en recenser le contenu.

LinkedIn a également cherché à discréditer Fairlinked en faisant valoir que la personne à l'origine du rapport avait été sanctionnée pour scraping et violations des conditions d'utilisation de la plateforme, et qu'elle avait perdu une procédure judiciaire antérieure. Fairlinked a contesté cette présentation : le litige invoqué par Microsoft portait sur une suspension de compte, et non sur BrowserGate. L'association précise qu'une motion d'injonction provisoire a été rejetée, mais que la procédure est toujours en appel.


Les enjeux techniques et réglementaires

D'un point de vue technique, la méthode utilisée par LinkedIn est sophistiquée mais pas inédite. Le sondage d'extensions via des requêtes vers des URL internes est une technique connue depuis plusieurs années ; ce qui distingue LinkedIn, c'est l'échelle (plus de 6 000 cibles), la systématisation (à chaque chargement de page), et l'absence de toute interface de désinscription.

Les utilisateurs qui souhaitent échapper à cette surveillance n'ont qu'une option réelle : passer à Firefox, dont l'architecture limite mais n'élimine pas forcément les capacités de détection d'extensions. Aucun paramètre dans les réglages LinkedIn ne permet de désactiver ce comportement.

Sur le plan réglementaire, la situation est particulièrement délicate en Europe. Les extensions ciblées incluent des outils révélant des caractéristiques protégées par l'article 9 du RGPD, qui impose un consentement explicite pour le traitement de données dites « de catégorie spéciale » (orientation religieuse, opinions politiques, données de santé). L'autorité irlandaise de protection des données (DPC), compétente pour LinkedIn en tant que superviseur principal au sein de l'Union européenne, sera vraisemblablement saisie. Fairlinked indique avoir déposé des plaintes auprès de la Commission européenne.

La désignation de LinkedIn comme contrôleur d'accès au titre du DMA intervient dans un contexte plus large de pression réglementaire : la Commission européenne a ouvert des enquêtes sur les pratiques cloud d'Amazon Web Services et de Microsoft Azure en novembre 2025. L'affaire BrowserGate s'inscrit ainsi dans une séquence qui place Microsoft sous surveillance croisée des régulateurs américains et européens.

Une fenêtre ouverte sur un marché en pleine expansion

L'affaire LinkedIn révèle un problème structurel qui dépasse le cas de la plateforme professionnelle. La pratique du "browser fingerprinting" (constituer une empreinte unique d'un appareil à partir de ses caractéristiques techniques et logicielles) est largement répandue dans l'industrie. Ce qui distingue BrowserGate, c'est l'exploitation de données susceptibles d'inférer des attributs sensibles à partir d'outils aussi banals qu'un gestionnaire de mots de passe ou un lecteur d'accessibilité.

Les entreprises de sécurité spécialisées dans la détection de ce type de collecte discrète constituent désormais un secteur en pleine croissance, indicateur que l'écart entre ce que les plateformes collectent et ce que les utilisateurs comprennent reste considérable.

Pour les professionnels de l'informatique, l'affaire pose une question de fond : dans quelle mesure une plateforme dont l'utilisation est quasi-obligatoire dans de nombreux secteurs peut-elle imposer, sans véritable consentement éclairé, un régime de surveillance aussi étendu ? Et que révèle cette affaire sur la façon dont les grandes plateformes redéfinissent en permanence les frontières du consentement implicite, au fil de mises à jour silencieuses de leurs politiques de confidentialité ?

Sources : plaintes en recours collectif (1, 2), déclarations de LinkedIn, BrowserGate

Et vous ?

La mention générique de "modules complémentaires" dans une politique de confidentialité peut-elle constituer une divulgation suffisante pour une opération de scan de 6 000 extensions ? Où se situe la frontière entre divulgation honnête et consentement de façade ?

LinkedIn est quasi-incontournable pour des millions de professionnels. Cette position dominante change-t-elle la nature éthique et juridique d'une surveillance non consentie, par rapport à ce qu'un service optionnel pourrait se permettre ?

La détection d'extensions à des fins anti-scraping est-elle un objectif légitime en soi, ou devient-elle problématique à partir du moment où elle permet d'inférer des attributs sensibles (religion, santé, opinions politiques) ? Peut-on séparer les deux ?

Firefox est présenté comme une parade partielle. Les navigateurs grand public devraient-ils intégrer nativement des protections contre le sondage d'extensions par les sites visités ?

Voir aussi :

LinkedIn va bientôt entraîner des modèles d'IA à partir des données des utilisateurs européens et prévient qu'elle va élargir le type de données qu'elle partage avec Microsoft

Baisse de l'engagement sur Instagram, LinkedIn et Threads : Si vous avez remarqué une baisse de l'activité sur les réseaux sociaux au cours de l'année écoulée, vous ne rêvez pas

Les extensions de navigateur vous espionnent, même si leurs développeurs ne le font pas, par Robert Vitonsky
Vous avez lu gratuitement 20 260 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !