Chaque visite sur LinkedIn depuis un navigateur basé sur Chromium déclenche, à votre insu, un inventaire silencieux de vos extensions installées, plus de 6 000 au total. Ce que la plateforme présente comme un dispositif anti-scraping, ses détracteurs le qualifient de système de profilage de masse. Deux recours collectifs ont été déposés en Californie début avril 2026, et les régulateurs européens commencent à s'intéresser de près au dossier.Tout commence par un fichier JavaScript de 2,7 mégaoctets. Invisible pour l'utilisateur ordinaire, ce bundle est injecté dans chaque page LinkedIn chargée depuis un navigateur Chromium (Chrome, Edge, Brave ou Opera). Ce code effectue un inventaire silencieux des extensions installées sur le navigateur du visiteur, collecte 48 caractéristiques matérielles et logicielles de son appareil, puis chiffre l'empreinte numérique ainsi constituée avant de l'attacher à chaque requête API de la session.
Le code utilise deux mécanismes distincts : d'une part, une liste codée en dur d'identifiants d'extensions, chacun sondé via une requête vers l'URL interne chrome-extension:// correspondante ; d'autre part, un mécanisme passif baptisé "Spectroscopy" qui parcourt l'arborescence DOM de la page pour détecter toute trace d'extension ayant modifié le contenu, même si celle-ci ne figure pas sur la liste. Autrement dit, même les extensions inconnues de LinkedIn peuvent être identifiées si elles laissent une empreinte dans la page.
L'ampleur de l'opération a considérablement évolué au fil du temps : LinkedIn scannait 38 extensions en 2017, 461 en 2024, et plus de 6 167 en février 2026, soit une augmentation de 1 252 % en deux ans seulement. BleepingComputer a confirmé indépendamment que le script était actif lors de ses tests début avril.
Fairlinked, l'enquêteur européen à l'origine de l'affaire
C'est l'association allemande Fairlinked e.V., qui se présente comme un groupement d'utilisateurs commerciaux de LinkedIn, qui a mis ce dispositif en lumière dans un rapport intitulé "BrowserGate", publié début mars 2026. L'enquête alléguait que le site de LinkedIn exécutait du code JavaScript caché scannant les navigateurs des visiteurs pour recenser les extensions installées, et transmettait ces données à des tiers.
Parmi les données potentiellement collectées figurent des informations sensibles : croyances religieuses, opinions politiques, conditions de santé, ou encore le fait qu'un utilisateur cherche activement un emploi. La liste inclurait notamment une extension de filtre de contenu islamique, un outil de marquage politique anti-sioniste, ou encore une application conçue pour les personnes neuroatypiques. Autant de données qui, croisées avec les profils réels et nominatifs de LinkedIn, permettraient selon Fairlinked de constituer des profils individuels extrêmement précis.
Selon le rapport, LinkedIn partagerait ces données avec des entreprises tierces, dont HUMAN Security, une société américano-israélienne de cybersécurité fondée par d'anciens membres des renseignements militaires israéliens. Cette allégation, l'une des plus graves du dossier, n'a pas été explicitement démentie par LinkedIn.
L'association souligne également une dimension concurrentielle : parmi les 6 000 extensions scrutées, plus de 200 sont des outils concurrents directs des produits commerciaux de LinkedIn. Dans un contexte où la plateforme est désignée comme « contrôleur d'accès » (gatekeeper) au titre du règlement européen sur les marchés numériques (DMA), qui garantit aux entreprises le droit de construire des outils tiers sur la plateforme, cette pratique prend une dimension stratégique troublante.
Deux recours collectifs en Californie
Le premier recours collectif a été déposé le 6 avril 2026 devant le tribunal fédéral du district nord de Californie, par le cabinet J.R. Howell, au nom de Jeff Ganan, un commercial basé dans le comté de Los Angeles. Un deuxième recours similaire, porté par Nicholas Farrell, a suivi le lendemain.
Le premier recours invoque notamment la loi fédérale sur la protection des communications électroniques (Electronic Communications Privacy Act) et la loi californienne sur l'accès frauduleux aux données informatiques (California Comprehensive Computer Data Access and Fraud Act). Les plaignants réclament des dommages et intérêts, une injonction de cessation de la pratique, et la suppression des données illicitement collectées.
L'avocat J.R. Howell a tenu à préciser que les allégations de son cabinet reposent sur sa propre analyse du code côté client de LinkedIn, et non uniquement sur le rapport Fairlinked. Dans un communiqué, il a déclaré que ce système peut identifier la religion d'un utilisateur, ses opinions politiques, un éventuel handicap, et même s'il cherche secrètement un emploi, le tout en liant ces informations à une identité réelle et à un employeur connu....
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.