Un rapport récemment publié, nommé BrowserGate, révèle que LinkedIn de Microsoft utilise des scripts JavaScript dissimulés sur son site pour analyser les navigateurs des visiteurs afin de détecter les extensions installées et recueillir des données sur leurs appareils.
Rédigé par l’association Fairlinked e.V., qui se présente comme un groupe d’utilisateurs commerciaux de LinkedIn, le rapport affirme que la plateforme de Microsoft injecte du JavaScript dans les sessions utilisateur pour vérifier des milliers d’extensions de navigateur, associant les résultats à des profils d’utilisateurs identifiables.
Ces techniques visent à amasser des informations personnelles et professionnelles sensibles, étant donné que les comptes LinkedIn sont liés à de véritables identités, employeurs et rôles professionnels.
« LinkedIn recherche plus de 200 produits en compétition directe avec ses propres outils de vente, tels qu’Apollo, Lusha et ZoomInfo. En connaissant chaque employeur des utilisateurs, LinkedIn peut cartographier quelles entreprises utilisent quels produits concurrents, extrayant ainsi les listes de clients de milliers de sociétés de logiciels sans que les utilisateurs en soient conscients, » indique le rapport.
« Ensuite, LinkedIn exploite ces informations. La plateforme a déjà menacé d’intimidation les utilisateurs de tiers, utilisant des données obtenues par ce scanning discret pour cibler ses victimes. »
Des tests réalisés par BleepingComputer ont corroboré une partie de ces affirmations, durant lesquels un fichier JavaScript avec un nom aléatoire a été observé, chargé par le site de LinkedIn.
Ce script a contrôlé la présence de 6 236 extensions de navigateur en tentant d’accéder à des ressources de fichiers associées à des identifiants d’extensions spécifiques, une méthode reconnue pour détecter les extensions installées.
Source: BleepingComputer
Bien que de nombreuses extensions ciblées soient liées à LinkedIn, le script a également détecté des extensions linguistiques et grammaticales, ainsi que des outils pour les professionnels de la fiscalité et d’autres fonctionnalités apparemment non pertinentes.
Ce même script prélève diverses données sur le navigateur et l’appareil, notamment le nombre de cœurs CPU, la mémoire disponible, la résolution d’écran, le fuseau horaire, les paramètres linguistiques, l’état de la batterie, des informations audio et des caractéristiques de stockage.
Source: BleepingComputer
BleepingComputer n’a pas pu valider les affirmations concernant l’utilisation des données collectées ou leur partage avec des tiers. Néanmoins, des techniques de fingerprinting similaires ont été utilisées auparavant pour créer des profils uniques de navigateurs, permettant ainsi le suivi des utilisateurs sur plusieurs sites.
Réponse de LinkedIn aux accusations
LinkedIn ne conteste pas la détection de certaines extensions de navigateur, mais explique que ces informations sont utilisées pour protéger la plateforme et ses utilisateurs.
La société affirme que le rapport émane d’une personne dont le compte a été banni pour avoir violé les conditions d’utilisation de LinkedIn en scrutant son contenu.
« Les affirmations formulées dans le rapport sont manifestement erronées. La personne derrière ces accusations fait l’objet d’une restriction de son compte pour avoir enfreint nos Conditions d’utilisation. »
LinkedIn précise que des extensions ont des ressources statiques (images, JavaScript) que l’on peut injecter dans ses pages web. La détection de la présence de ces ressources permet d’identifier les extensions qui violent les conditions d’utilisation, améliorant ainsi la sécurité de la plateforme.
Un contexte additionnel indique que, en représailles à la restriction de ce compte, des tentatives ont été faites pour obtenir une injonction en Allemagne, affirmant que LinkedIn avait enfreint diverses lois. Le tribunal a ensuite rejeté ces affirmations, concluant que les actions de LinkedIn étaient légales.
LinkedIn soutient que le rapport BrowserGate est une tentative de relancer ce contentieux publiquement.
Quelles que soient les motivations derrière ce rapport, un fait est incontestable : le site de LinkedIn utilise un script de fingerprinting détectant plus de 6 000 extensions dans un navigateur Chromium, ainsi que diverses données sur le système des visiteurs.
Cela ne constitue pas un cas isolé, puisque d’autres entreprises, telles qu’eBay, ont également utilisé des scripts de fingerprinting agressifs pour identifier des programmes d’assistance à distance sur les appareils des visiteurs.
Des investigations ont révélé que de nombreuses autres sociétés, y compris Citibank, TD Bank et Ameriprise, ont employé des scripts similaires, renforçant ainsi la nécessité de vigilance sur les pratiques de collecte de données en ligne.