## BrowserGate : la collecte de données présumée de LinkedIn Un rapport de Fairlinked e.V., une association d'utilisateurs commerciaux de **LinkedIn**, affirme que la plateforme de **Microsoft** injecte du JavaScript dans les sessions des utilisateurs pour détecter des milliers d'extensions de navigateur et lier ces données aux profils des utilisateurs. Le rapport, disponible sur [http://browsergate.eu/](http://browsergate.eu/), suggère que cela est fait pour recueillir des informations personnelles et d'entreprise sensibles. L'auteur affirme que **LinkedIn** utilise ces données pour identifier quelles entreprises utilisent des produits concurrents, extrayant ainsi des listes de clients des navigateurs des utilisateurs à leur insu. Le rapport allègue en outre que **LinkedIn** a utilisé ces données pour menacer les utilisateurs d'outils tiers. ## Vérification indépendante **BleepingComputer** a confirmé indépendamment certains aspects de ces allégations. Ils ont observé un fichier JavaScript, avec un nom de fichier aléatoire, chargé par le site web de **LinkedIn**. Ce script vérifiait 6 236 extensions de navigateur en tentant d'accéder aux ressources de fichiers associées à des ID d'extension spécifiques, une technique détaillée sur [https://browserleaks.com/chrome](https://browserleaks.com/chrome). Ce script d'empreintes digitales avait déjà été signalé en 2025, détectant environ 2 000 extensions à l'époque. Un [dépôt GitHub](https://github.com/mdp/linkedin-extension-fingerprinting/blob/main/chrome_extensions_with_names_all.csv) datant de deux mois montrait la détection de 3 000 extensions, indiquant une augmentation continue du nombre d'extensions ciblées.  *Extrait de la liste des extensions recherchées par le script de LinkedIn* *Source : BleepingComputer* Fait intéressant, le script cible également les extensions de langue et de grammaire, les outils pour les professionnels de la fiscalité et d'autres fonctionnalités apparemment sans rapport. Le script recueille des données sur le nombre de cœurs de CPU, la mémoire disponible, la résolution de l'écran, le fuseau horaire, les paramètres de langue, l'état de la batterie, les informations audio et les fonctionnalités de stockage.  *Collecte d'informations sur les appareils des visiteurs* *Source : BleepingComputer* Bien que **BleepingComputer** n'ait pas pu vérifier les allégations concernant l'utilisation des données ou leur partage avec des tiers, de telles techniques d'empreintes digitales sont souvent utilisées pour créer des profils de navigateur uniques afin de suivre les utilisateurs sur les sites web. ## Réponse de LinkedIn **LinkedIn** reconnaît détecter certaines extensions de navigateur mais nie toute utilisation abusive des données. Ils affirment que les informations sont utilisées pour protéger la plateforme et ses utilisateurs. **LinkedIn** déclare également que le rapport provient d'un individu dont le compte a été banni pour avoir scrapé du contenu et violé leurs conditions d'utilisation. La déclaration de **LinkedIn** : > "Les allégations faites sur le site web lié ici sont complètement fausses. La personne derrière elles fait l'objet d'une restriction de compte pour scraping et autres violations des Conditions d'utilisation de LinkedIn. > > Pour protéger la vie privée de nos membres, leurs données, et pour assurer la stabilité du site, nous recherchons les extensions qui scrapent des données sans le consentement des membres ou qui violent autrement les Conditions d'utilisation de LinkedIn. > > Voici pourquoi : certaines extensions ont des ressources statiques (images, javascript) disponibles pour être injectées dans nos pages web. Nous pouvons détecter la présence de ces extensions en vérifiant si cette URL de ressource statique existe. Cette détection est visible dans la console développeur de Chrome. Nous utilisons ces données pour déterminer quelles extensions violent nos conditions, pour informer et améliorer nos défenses techniques, et pour comprendre pourquoi un compte membre pourrait récupérer une quantité disproportionnée de données d'autres membres, ce qui, à grande échelle, affecte la stabilité du site. Nous n'utilisons pas ces données pour déduire des informations sensibles sur les membres. > > Pour plus de contexte, en représailles à la restriction du compte de ce propriétaire de site web, il a tenté d'obtenir une injonction en Allemagne, alléguant que LinkedIn avait violé diverses lois. Le tribunal s'est prononcé contre lui et a jugé que ses allégations contre LinkedIn étaient sans fondement, et en fait, les propres pratiques de données de cet individu étaient contraires à la loi. > > Malheureusement, il s'agit d'un cas où une personne a perdu devant les tribunaux, mais cherche à rejuger dans l'opinion publique sans égard pour l'exactitude." **LinkedIn** affirme que le rapport découle d'un différend impliquant le développeur de "Teamfluence", une extension de navigateur liée à **LinkedIn**, qu'ils ont restreinte pour violation des conditions de la plateforme. Un tribunal allemand a rejeté la demande d'injonction préliminaire du développeur, estimant que les actions de **LinkedIn** ne constituaient pas une obstruction ou une discrimination illégale. ## Incidents antérieurs de fingerprinting Ce n'est pas la première fois que des entreprises utilisent des scripts d'empreintes digitales agressifs. En 2021, **eBay** a utilisé JavaScript pour effectuer des scans de ports automatisés sur les appareils des visiteurs afin de détecter les logiciels de support à distance. D'autres entreprises, notamment **Citibank**, **TD Bank**, **Ameriprise** et **Equifax**, ont été découvertes plus tard utilisant des scripts similaires.