TL;DR : L’essentiel
- L’association Fairlinked e.V. révèle que le réseau social exécute des scripts JavaScript non divulgués capables de détecter des milliers d’extensions de navigateur et de collecter des données système détaillées.
- Le scan cible plus de 200 outils de vente concurrents et 500 solutions de recrutement, permettant à la plateforme d’identifier les clients de ses rivaux et les candidats actifs.
- LinkedIn justifie cette pratique par des impératifs de sécurité et de lutte contre l’extraction automatisée de données, tout en contestant la validité juridique des accusations portées par le rapport.
La plateforme LinkedIn, propriété de Microsoft, fait l’objet d’accusations graves concernant le déploiement de scripts de surveillance dissimulés sur son interface web. Selon l’enquête « BrowserGate » publiée par Fairlinked e.V. et relayée par GBHackers Security, ce code informatique analyserait l’environnement local des navigateurs d’un milliard d’utilisateurs. Cette opération de collecte de données s’effectuerait sans mention explicite dans la politique de confidentialité du service ni consentement préalable des professionnels inscrits.
Un mécanisme de fingerprinting étendu à plus de 6 000 extensions
L’analyse technique effectuée par les experts confirme la présence d’un fichier JavaScript au nom aléatoire dont le rôle est d’interroger les ressources statiques des extensions installées sur le navigateur Chrome. Comme le rapporte BleepingComputer, ce script de fingerprinting est désormais capable de détecter plus de 6 000 extensions différentes. Au-delà des simples outils liés aux réseaux sociaux, le scan identifie des logiciels révélant des informations sensibles sur les opinions politiques, les pratiques religieuses ou encore la neurodivergence des membres identifiés par leur identité réelle.
Cette collecte de données permettrait également une forme d’espionnage industriel à grande échelle. En repérant la présence d’extensions concurrentes telles qu’Apollo, Lusha ou ZoomInfo, LinkedIn serait en mesure de cartographier les listes de clients de ses rivaux commerciaux. Les données extraites incluent par ailleurs des caractéristiques techniques précises du matériel utilisé, comme le nombre de cœurs du processeur, la mémoire vive disponible, la résolution d’écran et l’état de la batterie.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Entre défense technique et conformité au droit européen
La direction du réseau social ne conteste pas l’existence de ce mécanisme de détection, mais en rejette l’interprétation malveillante. Ses représentants affirment que ces mesures visent uniquement à protéger l’intégrité de la plateforme contre le scraping massif de données, qui affecte la stabilité du site. Ils soulignent que l’auteur du rapport est un utilisateur dont le compte a été restreint suite à des violations répétées des conditions d’utilisation, une position validée par une décision de justice en Allemagne ayant rejeté une demande d’injonction contre LinkedIn.
Néanmoins, l’enquête soulève des questions de conformité vis-à-vis du Digital Markets Act (DMA) et du RGPD au sein de l’Union Européenne. Les critiques pointent une contradiction entre le statut de contrôleur d’accès imposé à LinkedIn et l’usage de scripts occultes pour entraver l’utilisation d’outils tiers légitimes. Cette affaire rappelle que la limite entre la défense technique d’une infrastructure et l’intrusion dans la vie privée des utilisateurs professionnels demeure une zone grise réglementaire que les autorités de régulation devront clarifier.
FAQ : Comprendre l’affaire BrowserGate
Quel est le problème technique détecté ?
Le problème réside dans l’utilisation de scripts JavaScript « invisibles » qui tentent d’accéder aux URL de ressources statiques propres à chaque extension de navigateur (fingerprinting). Cette méthode permet à LinkedIn de savoir exactement quels outils sont installés sur l’ordinateur de l’utilisateur sans que ce dernier n’en soit informé.
Quelles sont les conséquences potentielles pour les utilisateurs ?
L’enjeu est double : la vie privée et la sécurité économique. En identifiant des extensions spécifiques, LinkedIn peut déduire des informations sensibles (opinions politiques, neurodivergence) ou professionnelles (recherche active d’emploi via des outils de recrutement). Pour les entreprises, cela permet à LinkedIn de reconstituer les listes de clients de ses concurrents en identifiant qui utilise quels logiciels de vente.
Que s’est-il passé concrètement ?
L’affaire a éclaté avec le rapport de l’association Fairlinked e.V. LinkedIn affirme que ce rapport est une « mesure de représailles » de la part d’un développeur dont le compte a été banni pour extraction de données (scraping). Un tribunal allemand a d’ailleurs tranché en faveur de LinkedIn, estimant que la plateforme est en droit de bloquer des comptes pour protéger ses données, malgré les accusations de surveillance.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
