Un rapport intitulé « BrowserGate » met en garde contre des pratiques inquiétantes sur la plateforme LinkedIn de Microsoft. Selon l’analyse réalisée par Fairlinked e.V., une association d’utilisateurs commerciaux, le réseau social injecte des scripts JavaScript cachés sur son site pour analyser les navigateurs des utilisateurs, détecter les extensions installées et recueillir des données sur leurs appareils.
Ce document affirme que LinkedIn profite de ces pratiques pour rassembler des informations personnelles sensibles, notamment parce que les comptes sur la plateforme sont liés à des identités réelles et des employeurs. Plus de 200 outils concurrents, comme Apollo, Lusha, et ZoomInfo, sont signalés comme étant particulièrement surveillés. Grâce à cette méthode, LinkedIn parvient à établir quel concurrent est utilisé par chaque entreprise, accumulant ainsi des listes d’utilisateurs de nombreuses entreprises.
Il est également indiqué que la plateforme utilise les résultats de cette analyse pour menacer des utilisateurs d’outils tiers. BleepingComputer a pu valider une partie de ces affirmations à partir de tests, ayant observé un fichier JavaScript dont le nom était aléatoire, chargé par le site de LinkedIn. Ce fichier vérifiait la présence de 6 236 extensions de navigateur, une méthode répandue pour détecter les outils installés.
Le rapport signale qu’une version précédente du script, en 2025, ne détectait qu’environ 2 000 extensions. Récemment, un dépôt GitHub a révélé une augmentation à 3 000 extensions analysées. Il est intéressant de noter que certains des outils détectés ne sont pas directement liés à LinkedIn, incluant des extensions linguistiques ou des outils pour les professionnels de la fiscalité.
Source: BleepingComputer
Le script récupère une vaste gamme de données sur les navigateurs et les appareils, comme le nombre de cœurs CPU, la mémoire disponible, la résolution d’écran, le fuseau horaire, les paramètres de langue, l’état de la batterie, ainsi que des informations audio et de stockage.
Source: BleepingComputer
Bien que BleepingComputer n’ait pas pu confirmer l’utilisation des données par LinkedIn ou leur partage avec des tiers, des techniques similaires de fingerprinting ont déjà été observées, utilisées pour établir des profils uniques de navigateurs, ce qui facilite le suivi des utilisateurs à travers différents sites.
Réponse de LinkedIn aux affirmations
LinkedIn conteste les affirmations selon lesquelles elle utilise ces données à des fins malveillantes. La société explique que la détection des extensions vise à protéger sa plateforme et ses utilisateurs. Elle affirme que le comuniqué provient d’un individu dont le compte a été restreint pour avoir violé les conditions d’utilisation du site.
Selon LinkedIn, « les affirmations formulées ici sont complètement fausses. La personne derrière ces accusations fait l’objet d’une restriction pour avoir scrappé des contenus de LinkedIn. »
Pour expliquer sa position, LinkedIn souligne que certaines extensions peuvent injecter des ressources statiques dans leurs pages, rendant leur détection nécessaire pour protéger la vie privée des membres. De plus, une cour allemande a jugé en faveur de LinkedIn, estimant que les pratiques de l’auteur du rapport violaient les lois établies.
Quoi qu’il en soit, il est indéniable que LinkedIn utilise un script de fingerprinting capable de détecter plus de 6 000 extensions sur un navigateur basé sur Chromium, tout en collectant des données sur les systèmes des visiteurs.
Historiquement, d’autres entreprises ont également été scrutinées pour l’utilisation de scripts de détection similaires. En 2021, eBay avait été accusé d’utiliser JavaScript pour réaliser des analyses automatiques des ports sur les appareils des visiteurs dans le but de bloquer la fraude sur les dispositifs compromis.
Des entreprises comme Citibank, TD Bank, et d’autres ont également été révélées comme utilisant des scripts de fingerprinting similaires pour surveiller les programmes actifs sur les appareils des utilisateurs.