LinkedIn inspecte 2 953 extensions de navigateur

 (github.com/mdp)
1 points par GN⁺ 2026-02-06 | 1 commentaires | Partager sur WhatsApp
  • Le site web de LinkedIn détecte la présence de 2 953 extensions Chrome à chaque chargement de page
  • Le dépôt documente tous les ID d’extensions, leurs noms et les liens vers le Chrome Web Store que LinkedIn vérifie
  • Parmi l’ensemble des extensions, environ 78 % sont vérifiées via le Chrome Web Store et environ 22 % via Extpose
  • Le script fourni (fetch_extension_names.js) collecte automatiquement les noms des extensions et interroge Extpose en remplacement pour celles qui ont été supprimées
  • Ces données montrent l’ampleur de l’identification des extensions de navigateur par les sites web

Fingerprinting des extensions Chrome par LinkedIn

  • LinkedIn vérifie secrètement 2 953 extensions Chrome à chaque chargement de page
    • Ce processus prend la forme d’un fingerprinting visant à identifier les extensions installées dans le navigateur de l’utilisateur
  • Le dépôt contient la liste complète des extensions vérifiées par LinkedIn ainsi que les outils associés
    • Le fichier chrome_extensions_with_names_all.csv répertorie l’ID de l’extension, son nom et son lien vers le Chrome Web Store ou Extpose

Structure des données

  • Le fichier de données comprend trois colonnes : Extension ID, Name et URL
    • L’Extension ID est un identifiant de 32 caractères, et l’URL renvoie vers le Chrome Web Store ou vers Extpose
  • La liste complète est disponible dans le fichier chrome_extensions_with_names_all.csv

Script

  • fetch_extension_names.js récupère les noms des extensions depuis le Chrome Web Store et, si elles ont été supprimées ou sont inaccessibles, effectue une recherche de remplacement via Extpose
    • Exemples de commandes : node fetch_extension_names.js, node fetch_extension_names.js --offset 0 --limit 500
  • test_fetch.js traite les 3 premières extensions et permet un test en mode verbose

Statistiques

  • La liste de fingerprinting de LinkedIn comprend un total de 2 953 extensions
  • Parmi elles, environ 78 % sont vérifiées via le Chrome Web Store et environ 22 % via Extpose

Fichiers source

  • chrome_extension_ids.txt : liste brute des ID d’extensions extraite du fingerprint.js de LinkedIn
  • fingerprint.js : script de détection d’extensions (version raccourcie) inclus dans les pages LinkedIn
  • fetch_extension_names.js : script auxiliaire qui collecte automatiquement les noms des extensions

Résumé

  • LinkedIn inspecte à grande échelle les informations sur les extensions de navigateur, et ce dépôt publie en toute transparence la liste complète et la méthode de collecte

À lire aussi

1 commentaires

 
GN⁺ 2026-02-06
Commentaires Hacker News

  • Firefox semble immunisé contre ce problème
    Chrome expose les ressources web accessibles des extensions sous la forme chrome-extension://[PACKAGE ID]/[PATH],
    tandis que Firefox y accède sous la forme moz-extension://<extension-UUID>/myfile.png.
    Ici, <extension-UUID> est généré aléatoirement pour chaque navigateur, ce qui empêche les sites de fingerprinter le navigateur via les extensions installées
    Documentation associée : documentation Chrome, documentation Firefox

    • On disait qu’utiliser un navigateur avec moins de 5 % de part de marché faisait rater les technologies web modernes, et pourtant il y a au moins cet avantage de sécurité — c’est ironique
    • Il arrive parfois que les ventilateurs de mon ordinateur s’emballent complètement, et c’est presque toujours Firefox avec un onglet LinkedIn ouvert. Je me demande si ça fait du minage de cryptomonnaie, ou si c’est juste inefficace
    • Si l’ID d’une extension change selon le navigateur, est-ce que ça ne permet pas plutôt d’identifier l’utilisateur lui-même ?
      On passe de « ce navigateur a les extensions X, Y et Z » à « c’est le navigateur de Jim Bob », non ?

  • Quand on regarde la liste des extensions, la plupart sont liées au scraping de données LinkedIn ou à l’automatisation
    Quand je travaillais chez LinkedIn, ce type d’abus était déjà très répandu, et même si nous avions mis en place des systèmes internes de détection et de prévention assez sophistiqués, c’était une lutte sans fin

    • Si LinkedIn a créé une source de données pour fingerprint les extensions, il est probable que quelqu’un (sans doute LinkedIn ?) ait scrapé le Chrome Web Store.
      Cela pourrait aussi constituer une violation des CGU du Chrome Web Store
    • La liste n’a pas l’air très sophistiquée. On dirait juste un filtre sur les extensions dont le nom contient « email », et la plupart n’ont même pas d’autorisation d’accès à linkedin.com
    • Du point de vue de LinkedIn, c’est peut-être un problème, mais le vrai problème, ce sont des entreprises comme LinkedIn qui font du courtage de données
    • D’après le code, quand il y a une correspondance il ne semble rien se passer, si ce n’est l’enregistrement du résultat dans un CSV pour l’utiliser comme donnée d’empreinte
    • J’ai déjà scrapé LinkedIn pour le compte d’un client, et c’était une expérience plutôt intéressante

  • Chrome ressemble désormais au nouvel IE6
    Google est en train de devenir le prochain Microsoft, en allant dans une direction favorable à la publicité.
    On a l’impression qu’il a davantage contribué à neutraliser les bloqueurs de pub et à laisser passer des logiciels malveillants qu’à améliorer la sécurité

    • Je suis d’accord pour dire que Chrome est un spyware, mais il faut aussi reconnaître qu’il a été le premier à introduire des fonctionnalités de sécurité comme Site Isolation ou le sandboxing.
      La rapidité des correctifs et les tests de sécurité ne sont pas mauvais non plus
    • Le Chrome actuel est quelque chose de bien pire qu’IE6. Microsoft, au moins, ne faisait pas de suivi des utilisateurs ni de vente de publicité
    • Qui contrôle la pub contrôle Internet
    • Google est déjà devenu un monopole, et tous les monopoles finissent par tourner ainsi
    • En 2026, ceux qui utiliseront encore Chrome seront sans doute de vrais développeurs courageux

  • Si on ouvre LinkedIn et qu’on appuie sur F12, le compteur d’erreurs continue d’augmenter
    Capture d’écran disponible ici

  • J’ai récemment résumé sur mon blog les techniques de détection d’extensions de LinkedIn, ainsi que d’autres approches avec moins d’effets secondaires
    Article du blog Castle

    • En patchant Firefox pour que navigator.webdriver soit toujours false, on peut le piloter à distance.
      C’est difficile à détecter, mais cela reste repérable via les schémas de vitesse de saisie
    • Le billet correspondait exactement au sujet, donc je l’ai trouvé intéressant à lire

  • J’ai écrit un article sur le sujet il y a quelques mois.
    J’y expliquais pourquoi c’est possible, ainsi que les moyens de prévention
    Lien vers l’article

    • Je me demande si l’article explique aussi pourquoi LinkedIn fait cela, ou s’il se contente de décrire la possibilité technique

  • LinkedIn utilise récemment beaucoup de dark patterns étranges

    • il force un changement de vitesse de défilement dans Firefox
    • sur le web mobile, si on consulte un profil puis qu’on revient en arrière, on est toujours redirigé vers la page d’accueil
    • des URL d’analyse sont générées avec des chemins aléatoires pour tenter de contourner les blocages
      Je me demande si quelqu’un sait pourquoi ils se comportent ainsi
    • LinkedIn semble être en guerre totale contre l’industrie des bases de données de contacts, et utiliser ce genre de tactiques.
      Entre le web crawling et le recours à des personnes pour du travail manuel, ils emploient diverses stratégies défensives

  • Cette méthode est déjà connue depuis 2019
    Billet du blog Nymeria

  • La liste des extensions scannées par LinkedIn est claire, mais ce qui est encore plus intéressant, ce sont celles qu’il ne scanne pas
    Par exemple, « Contact Out » peut être scannée, mais LinkedIn semble faire comme si de rien n’était.
    On peut se demander s’il n’y a pas eu un arrangement en coulisses
    Lien vers l’extension Contact Out

    • Cette extension ne déclare pas de ressources accessibles au contenu dans son manifest, donc le fingerprinting est impossible
    • Fait intéressant, LinkedIn ne bloque pas non plus des extensions comme Claude ou Dassi AI. Je me demande pourquoi

  • Il est écrit que « ce dépôt documente toutes les extensions inspectées par LinkedIn et fournit des outils pour les identifier »,
    mais je me demande comment ils ont confirmé que LinkedIn vérifie réellement ces ID.
    Et j’aimerais aussi savoir si cela concerne également les utilisateurs non-Chrome

    • Il y a quelques semaines, un fournisseur a publié un article analysant techniquement la méthode de LinkedIn,
      en vantant le fait que leur propre approche était « plus discrète, moins visible et plus facile à exécuter à grande échelle »
      Article du blog Castle