Selon un rapport de **Fairlinked e.V.**, une association d'utilisateurs commerciaux de **LinkedIn**, la plateforme injecte du JavaScript dans les sessions des utilisateurs pour vérifier des milliers d'extensions de navigateur, reliant les résultats à des profils d'utilisateurs identifiables. Ce comportement est censé collecter des informations personnelles et d'entreprise sensibles, étant donné que les comptes **LinkedIn** sont liés à de véritables identités, employeurs et rôles professionnels. ### Détection d'extensions et veille concurrentielle Le rapport affirme que **LinkedIn** scanne plus de 200 produits qui concurrencent directement ses propres outils de vente, notamment **Apollo**, **Lusha** et **ZoomInfo**. En corrélant les profils d'utilisateurs avec les extensions détectées, **LinkedIn** pourrait potentiellement cartographier quelles entreprises utilisent des produits concurrents, extrayant ainsi des listes de clients à l'insu des utilisateurs. Le rapport allègue en outre que **LinkedIn** a utilisé ces données pour envoyer des menaces d'application de la loi aux utilisateurs d'outils tiers. **BleepingComputer** a confirmé indépendamment certains de ces allégations, observant un fichier JavaScript avec un nom de fichier aléatoire chargé par le site Web de **LinkedIn**. Ce script vérifiait 6 236 extensions de navigateur en tentant d'accéder aux ressources de fichiers associées à un identifiant d'extension spécifique, une technique connue pour détecter les extensions installées. Ce script d'empreintes digitales avait déjà été signalé en 2025 détectant environ 2 000 extensions, mais le nombre a considérablement augmenté. Un dépôt **GitHub** distinct montrait 3 000 extensions détectées il y a deux mois, illustrant la portée croissante de cette pratique.  *Extrait de la liste des extensions scannées par le script de LinkedIn* *Source : BleepingComputer* Bien que bon nombre des extensions analysées soient liées à **LinkedIn**, le script détecte également des outils de langue et de grammaire, des logiciels fiscaux et d'autres fonctionnalités apparemment sans rapport. ### Collecte de données sur l'appareil Le script collecte également un large éventail de données de navigateur et d'appareil, notamment le nombre de cœurs de CPU, la mémoire disponible, la résolution de l'écran, le fuseau horaire, les paramètres de langue, l'état de la batterie, les informations audio et les fonctionnalités de stockage. Ces données peuvent être utilisées pour le fingerprinting de navigateur, une technique utilisée pour suivre les utilisateurs sur le Web.  *Collecte d'informations sur les appareils des visiteurs* *Source : BleepingComputer* **BleepingComputer** n'a pas pu vérifier indépendamment les allégations concernant l'utilisation de ces données ni si elles sont partagées avec des tiers. ### La réponse de LinkedIn **LinkedIn** reconnaît détecter des extensions de navigateur spécifiques mais nie utiliser les données à des fins malveillantes. L'entreprise affirme que les informations sont utilisées pour protéger la plateforme et ses utilisateurs. **LinkedIn** déclare également que le rapport **BrowserGate** provient d'un individu dont le compte a été banni pour avoir scrapé du contenu **LinkedIn** et violé les conditions d'utilisation du site. **LinkedIn** a fourni la déclaration suivante : > "Les allégations faites sur le site Web lié ici sont complètement fausses. La personne qui en est à l'origine fait l'objet d'une restriction de compte pour scraping et autres violations des Conditions d'utilisation de LinkedIn. > > Pour protéger la vie privée de nos membres, leurs données, et pour assurer la stabilité du site, nous recherchons les extensions qui scrapent des données sans le consentement des membres ou qui violent autrement les Conditions d'utilisation de LinkedIn. > > Voici pourquoi : certaines extensions ont des ressources statiques (images, javascript) disponibles pour être injectées dans nos pages Web. Nous pouvons détecter la présence de ces extensions en vérifiant si cette URL de ressource statique existe. Cette détection est visible dans la console développeur de Chrome. Nous utilisons ces données pour déterminer quelles extensions violent nos conditions, pour informer et améliorer nos défenses techniques, et pour comprendre pourquoi un compte membre pourrait récupérer une quantité disproportionnée de données d'autres membres, ce qui, à grande échelle, affecte la stabilité du site. Nous n'utilisons pas ces données pour déduire des informations sensibles sur les membres. > > Pour plus de contexte, en représailles à la restriction du compte de ce propriétaire de site Web, il a tenté d'obtenir une injonction en Allemagne, alléguant que LinkedIn avait violé diverses lois. Le tribunal s'est prononcé contre lui et a jugé que ses allégations contre LinkedIn étaient sans fondement, et en fait, les propres pratiques de données de cet individu étaient contraires à la loi. > > Malheureusement, il s'agit d'un cas où un individu a perdu devant les tribunaux, mais cherche à rejuger devant l'opinion publique sans tenir compte de l'exactitude." > ❖ LinkedIn **LinkedIn** affirme que le rapport **BrowserGate** découle d'un différend impliquant le développeur de l'extension de navigateur **Teamfluence**, que **LinkedIn** affirme avoir restreinte pour violation des conditions de la plateforme. Un tribunal allemand a rejeté la demande d'injonction préliminaire du développeur, estimant que les actions de **LinkedIn** ne constituaient pas une obstruction ou une discrimination illégale. ### Une tendance plus large au fingerprinting Quelles que soient les raisons du rapport, **LinkedIn** utilise un script d'empreintes digitales qui détecte plus de 6 000 extensions fonctionnant dans un navigateur Chromium, ainsi que d'autres données système. Cette pratique n'est pas unique à **LinkedIn**. En 2021, **eBay** a été découvert utilisant du JavaScript pour effectuer des scans de ports automatisés sur les appareils des visiteurs afin de détecter des logiciels de support à distance. D'autres entreprises, notamment **Citibank**, **TD Bank**, **Ameriprise**, **Chick-fil-A**, **Lendup**, **BeachBody**, **Equifax IQ connect**, **TIAA-CREF**, **Sky**, **GumTree** et **WePay**, ont également utilisé des scripts d'empreintes digitales similaires. Le pentesting automatisé ne couvre qu'une des 6 surfaces. Le pentesting automatisé prouve que le chemin existe. BAS prouve si vos contrôles l'arrêtent. La plupart des équipes font l'un sans l'autre. Ce livre blanc décrit six surfaces de validation, montre où la couverture s'arrête et fournit aux praticiens trois questions diagnostiques pour toute évaluation d'outil.