À l’aide d’un script JavaScript chargé à chaque visite, LinkedIn scannerait les extensions installées dans les navigateurs Web de ses visiteurs, soulevant par la même occasion des questions sur la confidentialité et le pistage des utilisateurs. Cette affaire porte un nom : BrowserGate.

Un scan silencieux via un script JavaScript

D’après le rapport baptisé BrowserGate publié par Fairlinked e.V. (une association d’utilisateurs commerciaux de LinkedIn), le réseau social de Microsoft injecte un script JavaScript lors des sessions de navigation. Son objectif ? Détecter la présence des extensions de navigateur en effectuant une recherche sur des identifiants d’extensions connus.

Ce script traque pas moins de 6 236 extensions différentes sur les navigateurs basés sur Chromium, comme Google Chrome et Microsoft Edge. Cela s’appuie sur un mécanisme interne accessible à n’importe quel site web, et si vous visitez cette page, vous verrez la détection des extensions entrer en action sur votre machine. Mais la collecte d’informations ne s’arrête pas là. LinkedIn en profite pour créer une empreinte numérique de l’appareil de l’utilisateur. Parmi les données récoltées, on retrouve notamment :

• Le nombre de cœurs du processeur
• La mémoire vive (RAM) disponible
• La résolution de l’écran
• Le fuseau horaire et la langue du système
• L’état de la batterie et les paramètres audio

Mais alors, pourquoi LinkedIn effectue cette collecte d’informations ? Selon le rapport, ces informations permettraient à LinkedIn d’identifier si vous utilisez des outils tiers concurrents de ses propres solutions commerciales. “LinkedIn analyse plus de 200 produits qui sont en concurrence directe avec ses propres outils de vente, notamment Apollo, Lusha et ZoomInfo. Comme LinkedIn connaît l’employeur de chaque utilisateur, il peut identifier quelles entreprises utilisent quels produits concurrents. Il extrait les listes de clients de milliers d’éditeurs de logiciels à partir des navigateurs de ses utilisateurs, à l’insu de tous.”, peut-on lire sur le site BrowserGate.

La réponse de LinkedIn

La technique employée par LinkedIn n’est pas nouvelle, et comme le rapporte BleepingComputer, une liste des extensions détectées circule déjà sur GitHub depuis 2025. Si cette pratique a été mise en lumière aujourd’hui, ce n’est pas un hasard, il semblerait qu’il y ait un conflit entre LinkedIn et un développeur.

En effet, LinkedIn a affirmé que l’auteur du rapport BrowserGate est un développeur dont le compte a été restreint pour des pratiques abusives d’aspiration de données (scraping). Il aurait d’ailleurs récemment perdu une bataille juridique en Allemagne à ce sujet, la justice estimant que les actions de LinkedIn pour bloquer ces outils automatisés étaient légitimes. Il serait question d’une extension en cours de développement baptisée “Teamfluence”.

En complément, LinkedIn n’a pas nié l’existence de ce script JavaScript en évoquant qu’il s’agissait de vérifications techniques, en particulier pour détecter les outils de scraping. Le géant américain indique ne pas faire un usage commercial de ces données, même si nous avons le droit d’en douter !

“Nous utilisons ces données pour identifier les extensions qui enfreignent nos conditions d’utilisation, pour adapter et améliorer nos mesures de protection techniques, et pour comprendre pourquoi le compte d’un membre pourrait récupérer un volume excessif de données appartenant à d’autres membres, ce qui, à grande échelle, nuit à la stabilité du site. Nous n’utilisons pas ces données pour déduire des informations sensibles concernant les membres.”, a précisé LinkedIn dans une déclaration.

Source