LinkedIn analyse les extensions de navigateur des utilisateurs

 (browsergate.eu)
2 points par GN⁺ 2026-04-03 | 1 commentaires | Partager sur WhatsApp
  • Il a été confirmé que LinkedIn analyse en secret les extensions de navigateur des utilisateurs et envoie les résultats à ses propres serveurs ainsi qu’à des serveurs tiers
  • Ce processus est exécuté sans consentement ni notification de l’utilisateur, et n’est pas mentionné dans la politique de confidentialité de LinkedIn
  • Les éléments analysés incluent des extensions pouvant révéler des informations sensibles telles que les opinions politiques, la religion, le handicap ou la recherche d’emploi
  • LinkedIn s’en servirait pour identifier les entreprises qui utilisent des produits concurrents et a déjà menacé de sanctions des utilisateurs d’outils tiers
  • Fairlinked e.V. qualifie cela de violation massive de la vie privée et d’espionnage d’entreprise et prépare des actions en justice ainsi que des signalements publics

Soupçons de recherche illégale des extensions de navigateur par LinkedIn

  • Il a été confirmé que LinkedIn recherche en secret les extensions de navigateur installées sur l’ordinateur des utilisateurs et transmet les résultats à ses propres serveurs ainsi qu’à des serveurs tiers
    • Ce code est exécuté sans consentement ni information préalable de l’utilisateur, et rien à ce sujet n’est indiqué dans la politique de confidentialité de LinkedIn
    • Les données collectées sont également transmises à des entreprises tierces comme HUMAN Security (anciennement PerimeterX)
  • LinkedIn dispose des informations de nom réel, employeur et poste de ses utilisateurs, ce qui lui permet d’effectuer cette analyse non pas sur de simples visiteurs anonymes, mais à l’échelle de personnes et d’entreprises identifiables
    • Cela crée un mécanisme de collecte quotidienne d’informations internes concernant des millions d’entreprises dans le monde
    • Selon l’enquête, de telles pratiques pourraient être illégales, voire relever du pénal dans toutes les juridictions examinées

Auteur de l’enquête et objectif

  • Fairlinked e.V. est une association d’utilisateurs commerciaux de LinkedIn qui représente les professionnels, entreprises et développeurs d’outils dépendant de la plateforme
  • BrowserGate est l’enquête et la campagne menées par cette organisation pour documenter un cas massif d’espionnage d’entreprise et d’atteinte à la vie privée, alerter le public et les régulateurs, et réunir des preuves ainsi que des fonds en vue d’actions en justice

Principales découvertes

  • Violation massive de la vie privée

    • L’analyse de LinkedIn détecte des extensions pouvant révéler la religion, les opinions politiques, une situation de handicap ou une recherche d’emploi
    • Parmi les exemples figurent des extensions destinées aux fidèles musulmans, des extensions liées aux orientations politiques, des outils pour utilisateurs neurodivergents et 509 extensions liées à la recherche d’emploi
    • Ces données relèvent de catégories dont la collecte est elle-même interdite par le droit de l’UE, et LinkedIn le ferait sans consentement, sans transparence et sans base légale

  • Espionnage d’entreprise et détournement de secrets commerciaux

    • LinkedIn analyse plus de 200 produits concurrents de ses propres outils commerciaux, dont Apollo, Lusha et ZoomInfo
    • Grâce aux informations sur l’employeur des utilisateurs, il serait possible de savoir quelle entreprise utilise quel produit concurrent, ce qui revient à extraire sans autorisation les listes de clients de milliers d’éditeurs de logiciels
    • LinkedIn a déjà utilisé ces données pour envoyer des menaces de sanctions à des utilisateurs d’outils tiers

  • Contournement de la régulation européenne

    • En 2023, l’UE a désigné LinkedIn comme « gatekeeper » au titre du Digital Markets Act (DMA) et lui a ordonné d’autoriser l’accès aux outils tiers
    • En réponse, LinkedIn a publié deux API limitées, dont le niveau n’atteint que 0,07 appel par seconde
    • À l’inverse, son API interne Voyager fonctionne à 163 000 appels par seconde et alimente l’ensemble de ses produits web et mobiles
    • Dans le rapport de 249 pages de Microsoft destiné à l’UE, le terme « API » apparaît 533 fois, tandis que « Voyager » n’est jamais mentionné
    • Dans le même temps, LinkedIn a élargi la surveillance en faisant passer sa liste d’analyse d’environ 461 produits en 2024 à plus de 6 000 en février 2026
    • Alors que l’UE exigeait l’ouverture aux outils tiers, LinkedIn aurait mis en place un système de surveillance et de sanction des utilisateurs

  • Transmission de données à des tiers

    • LinkedIn charge un élément de suivi invisible (0 pixel) de HUMAN Security pour déposer des cookies à l’insu des utilisateurs
    • Un script de fingerprinting s’exécute depuis les serveurs de LinkedIn, et des scripts de Google s’exécutent également à chaque chargement de page
    • Tous ces transferts de données sont chiffrés et non divulgués publiquement

Appel au soutien

  • Microsoft dispose de 33 000 employés et d’un budget juridique de 15 milliards de dollars
  • Fairlinked affirme avoir obtenu des preuves, mais avoir besoin de ressources humaines et de financements pour engager des actions en justice
  • L’organisation appelle, via son site web, à participer, soutenir financièrement et transmettre des informations aux médias

À lire aussi

1 commentaires

 
GN⁺ 2026-04-03
Avis Hacker News

  • Le titre semble un peu exagéré
    En pratique, à chaque ouverture de LinkedIn dans un navigateur basé sur Chrome, du JavaScript scanne discrètement les extensions de navigateur installées, puis chiffre le résultat avant de l’envoyer au serveur
    Ce comportement paraît intrusif, mais il ressemble à une forme de fingerprinting du navigateur qu’on voit souvent aujourd’hui sur des sites intégrant du code publicitaire
    Cela dit, le fait de vérifier les ID d’extensions une par une est probablement lié à des limitations de l’API
    C’est problématique, mais je ne suis pas d’accord avec une présentation excessivement alarmiste
    C’est pour ce genre de raison que j’utilise un bloqueur de pub

    • Je me demande si explorer les extensions du navigateur n’équivaut pas, au fond, à scanner l’ordinateur
      C’est précisément pour empêcher ce type de pratique que Chrome a randomisé les extensionId en V3
      Si LinkedIn a aussi inclus des extensions liées à certaines religions dans sa liste, cela ressemble moins à une contrainte technique qu’à un choix délibéré
    • Je pense que le vrai problème, c’est d’en être venu à considérer cela comme normal
      Les bloqueurs de pub ne sont pas une défense parfaite, et l’extraction d’information comme la manipulation des comportements continuent d’apparaître sous de nouvelles formes
    • C’est étonnant de vivre dans un monde où même le FBI recommande un bloqueur de pub
      Mais si tout le monde le faisait réellement, une grande partie de l’économie d’Internet s’effondrerait
      Il y a quelque chose d’ironique à voir le FBI dire : « protégez-vous vous-mêmes contre le modèle économique de la 3e entreprise mondiale »
    • Je ne vois absolument aucune raison pour que LinkedIn regarde quelles extensions j’utilise
      Il faut s’opposer fermement à ce genre de pratique
    • Cela a déjà été rétro-ingéniéré plusieurs fois
      La liste d’extensions que LinkedIn vérifie contient surtout des outils de spam et de scraping, et pas les bloqueurs de pub classiques
      Pour un utilisateur connecté, il n’y a pas vraiment besoin de fingerprinting, donc il est plausible que l’objectif soit simplement de détecter les outils d’automatisation

  • Voici la position officielle de LinkedIn
    Le compte de la personne à l’origine des accusations est actuellement restreint pour scraping et violation des conditions d’utilisation, et elle diffuserait de fausses affirmations par représailles
    LinkedIn explique qu’il détecte les extensions d’extraction non autorisée de données afin de protéger les données des membres et la stabilité du site
    Les extensions exposent des URL de ressources fixes, ce qui permet d’en vérifier la présence, et cela serait visible même dans la console développeur
    Selon LinkedIn, ces données sont utilisées uniquement pour détecter les violations des conditions d’utilisation et améliorer les défenses techniques, pas pour déduire des informations sensibles
    L’entreprise ajoute qu’un tribunal allemand lui a également donné raison

    • Quelle que soit la finalité, une atteinte à la vie privée ne peut pas être justifiée
      S’il existe un risque d’exposer les orientations politiques, religieuses ou sexuelles des utilisateurs, c’est bien plus grave que l’application des conditions d’utilisation
      Je ne comprends pas pourquoi utiliser une méthode aussi intrusive alors qu’il suffirait de bloquer les comptes générant un trafic excessif
      Cela rappelle aussi qu’aux débuts de sa croissance, LinkedIn avait déjà aspiré sans autorisation les carnets d’adresses des utilisateurs pour envoyer des e-mails
    • J’aimerais savoir si LinkedIn peut publier sa fameuse liste d’extensions malveillantes
    • Certains trouvent ces déclarations difficiles à croire faute de preuves
    • Microsoft et LinkedIn ont déjà menti à propos de la collecte de données par le passé, ce qui rend leur discours peu crédible
    • On voit aussi des réactions sarcastiques se demandant si Microsoft, investisseur dans OpenAI, est vraiment bien placé pour faire la leçon sur la violation de propriété intellectuelle

  • Je n’ai pas de compte LinkedIn, et pourtant un faux profil avait été créé à mon nom
    Il était relié à l’entreprise pour laquelle je fais actuellement du conseil, et après l’envoi d’un e-mail de protestation, LinkedIn m’a confirmé sa suppression
    Même sans compte, LinkedIn peut donc créer automatiquement des profils ; il faut rester vigilant

    • Certains se demandent comment cela peut être possible
      Est-ce que l’entreprise téléverse une liste d’employés, est-ce lié à l’intégration d’un compte Microsoft, le chemin exact reste flou
      Ils veulent aussi savoir s’il existe une procédure pour récupérer ou supprimer ce profil
    • Il est aussi possible qu’il s’agisse d’un compte frauduleux se faisant passer pour la vraie personne
      Ce type de cas s’est multiplié avec le télétravail, et comme il suffit parfois d’encaisser quelques salaires pour y gagner, cela arrive fréquemment
    • Ce cas est peut-être le seul indice expliquant pourquoi LinkedIn agit de cette manière

  • Il y a encore quelques années, ce type de fingerprinting non consenti aurait été considéré comme du spyware
    Ce que fait LinkedIn aujourd’hui avec sa « spectroscopy », c’est combiner la détection d’extensions avec l’analyse des résidus dans le DOM
    C’est difficile à bloquer avec un bloqueur de pub, et même en quittant Chrome, la protection ne serait pas totale
    Au final, il faut un véritable mode de confidentialité au niveau du fabricant du navigateur

    • En réalité, des services comme reCAPTCHA exploitent déjà le fingerprinting du navigateur depuis plus de 15 ans
      La détection d’extensions est plus rare, mais le fingerprinting lui-même est une pratique ancienne
      Certains testent la vulnérabilité de leur navigateur sur fingerprint.com/demo
    • Microsoft a toujours fonctionné ainsi, en enracinant sur le marché des produits inférieurs
      Windows, Office, SharePoint, LinkedIn : même logique selon certains

  • Le fait que LinkedIn détecte des extensions comme des filtres de contenu islamique, des tags antisionistes ou des outils d’aide à la neurodiversité représente une grave rupture de confiance

    • Beaucoup de ces extensions sont peut-être en réalité des extensions malveillantes conçues pour voler des données
      Elles se présentent comme des outils liés à des sujets sociaux ou à l’accessibilité, mais servent souvent en interne à exfiltrer les données des utilisateurs
    • Ce genre de pratique ne concerne pas seulement Microsoft ; cela s’inscrit plus largement dans la logique du ciblage publicitaire et du fingerprinting
      L’érosion de la confiance sur Internet dure depuis des décennies
    • Certains pensent que ce genre d’idée ne vient pas d’un dirigeant malveillant, mais d’employés qui ont fait passer l’argent avant la morale
    • La liste des extensions détectées par LinkedIn inclut de nombreuses extensions révélant une orientation politique, comme « Anti-woke », « Vote With Your Money » ou « No more Musk »

  • Le simple fait qu’un site web puisse détecter des extensions précises est déjà problématique
    S’il existe un besoin légitime, l’extension devrait pouvoir choisir elle-même sur quels sites se rendre visible

    • En pratique, les extensions sont déjà configurées pour n’être actives que sur certains sites, et leur présence peut alors être vérifiée via les fichiers de ressources publiques exposés dans ce contexte
      LinkedIn s’en servirait pour scanner plus de 6 000 extensions
      Autrefois, il n’en vérifiait qu’une centaine ; aujourd’hui, l’approche est devenue bien plus agressive

  • J’utilise des navigateurs séparés pour le perso et le travail, isolés dans des cgroup et jail distincts
    C’est pénible à configurer, mais rassurant, car les données privées et professionnelles ne se mélangent pas
    Je recommande au minimum de séparer un profil public et un profil privé
    Je n’ai aucune envie que Microsoft sache si j’ai installé une extension du genre « Otaku Neko StarBlazers Tru-Fen Extendomatic »

    • D’autres disent avoir aussi un profil Firefox séparé pour adultes
    • Quelqu’un a même dit avoir réellement cherché cette extension
    • Pour ce type d’environnement cloisonné, Qubes OS convient très bien ; certains l’utilisent au quotidien et le recommandent vivement

  • Au fond, cette affaire montre surtout l’échec du sandboxing de Chrome
    Une solution technique peut être plus simple et plus efficace qu’une régulation juridique

    • Les extensions Chrome exposent des fichiers internes via web_accessible_resources dans manifest.json
      LinkedIn exploite cette structure avec des requêtes fetch pour déterminer si elles sont installées
      Certains se demandent si c’était réellement voulu par le design
    • D’après ce commentaire connexe, la question n’est pas si simple
    • Il est aussi problématique que les développeurs de Chrome ne soient pas très motivés pour empêcher le pistage
      Les défenses techniques et l’indignation éthique doivent aller de pair

  • Il n’y a aucune raison de faire confiance aux grandes entreprises technologiques
    Pour protéger sa vie privée, il faut utiliser les fonctions de conteneur du navigateur
    L’extension LinkedIn Container que j’ai créée isole l’activité LinkedIn dans Firefox
    Je compte l’améliorer pour qu’elle bloque aussi les tentatives de scan de LinkedIn à l’avenir

  • Toute cette histoire est horrible, mais il est aussi techniquement impressionnant que JavaScript puisse traiter en parallèle plus de 6 000 fetch
    Le fait d’obtenir cette efficacité sans même passer par la pile réseau montre à quel point JS a progressé