LinkedIn injecte un script JavaScript qui scanne silencieusement plus de 6 000 extensions Chrome et collecte l'empreinte matérielle des visiteurs, selon le rapport BrowserGate.
TL;DR — En résumé
LinkedIn scanne secrètement plus de 6 000 extensions Chrome via un script JavaScript caché. Le rapport BrowserGate révèle une collecte massive de données.
En bref
- LinkedIn injecte un script JavaScript qui scanne silencieusement plus de 6 000 extensions Chrome installées sur le navigateur des visiteurs.
- Le script collecte également l'empreinte matérielle complète (CPU, RAM, résolution, fuseau horaire, batterie) sans en informer les utilisateurs.
- Cette pratique, baptisée « BrowserGate » par les chercheurs, n'est mentionnée nulle part dans la politique de confidentialité de LinkedIn.
Ce qui s'est passé
L'association européenne Fairlinked e.V., qui regroupe des utilisateurs commerciaux de LinkedIn, a publié début avril 2026 les résultats d'une investigation accablante. Selon leur rapport, LinkedIn injecte un bundle JavaScript de 2,7 Mo dans chaque page du site. Ce script scanne le navigateur des visiteurs pour détecter la présence de plus de 6 000 extensions Chrome spécifiques, assemble une empreinte matérielle détaillée, la chiffre et la transmet aux serveurs de LinkedIn où elle est rattachée à chaque action ultérieure de la session.
L'ampleur du scan a explosé au fil des années. En 2017, LinkedIn ciblait 38 extensions. En 2024, ce nombre était passé à 461. En février 2026, la liste atteignait 6 167 extensions, soit une augmentation de 1 252 % en deux ans. Les données collectées incluent le nombre de cœurs CPU, la mémoire disponible, la résolution d'écran, le fuseau horaire, les paramètres de langue et le statut de la batterie. Certaines extensions identifiées peuvent révéler des informations sensibles comme les convictions religieuses, les opinions politiques ou l'état de santé de l'utilisateur.
LinkedIn a répondu en déclarant que le scan vise à détecter les extensions qui extraient des données sans le consentement des membres, afin de protéger leur vie privée et d'assurer la stabilité du site. L'entreprise affirme ne pas utiliser ces données pour « inférer des informations sensibles sur les membres ». Toutefois, aucune mention de cette pratique n'apparaît dans la politique de confidentialité de la plateforme, ce qui pose un problème juridique majeur, notamment au regard du RGPD.
Pourquoi c'est important
Cette révélation soulève des questions fondamentales sur les pratiques de collecte de données des grandes plateformes. Le navigateur est devenu un outil central de notre vie professionnelle et personnelle. Scanner silencieusement les extensions installées équivaut à inspecter les applications d'un smartphone sans consentement. Certaines extensions comme les gestionnaires de mots de passe, les VPN ou les outils d'accessibilité peuvent révéler des informations très personnelles sur l'utilisateur.
Le cadre réglementaire européen, notamment le RGPD et le Digital Markets Act, exige une transparence totale sur la collecte de données significatives. Une opération de scanning de cette ampleur, conduite sans la moindre mention dans une politique de confidentialité, semble difficilement compatible avec ces exigences. Les entreprises qui gèrent la sécurité de leurs accès cloud doivent évaluer l'impact potentiel de cette collecte sur leurs employés utilisant LinkedIn.
Pour les professionnels de la cybersécurité, BrowserGate illustre aussi un vecteur d'attaque potentiel. Si un acteur malveillant parvenait à compromettre ce mécanisme de scan, il disposerait d'une cartographie détaillée des outils de sécurité installés par des millions d'utilisateurs, facilitant considérablement le ciblage d'attaques. La sécurité de la supply chain applicative passe aussi par la vigilance sur les scripts tiers exécutés dans le navigateur.
Ce qu'il faut retenir
- LinkedIn scanne plus de 6 000 extensions Chrome sans consentement explicite, une pratique qui pourrait violer le RGPD et le Digital Markets Act en Europe.
- Les entreprises devraient auditer les scripts exécutés par les plateformes tierces accessibles depuis les postes de travail, et envisager des politiques de Zero Trust plus strictes.
- Les utilisateurs peuvent se protéger en utilisant un profil de navigateur dédié pour LinkedIn, ou en bloquant les scripts tiers via une extension comme uBlock Origin.
Comment savoir si LinkedIn scanne mes extensions de navigateur ?
Le scan est invisible pour l'utilisateur standard. Pour le détecter, vous pouvez utiliser les outils de développement de votre navigateur (F12 > Réseau) et observer les requêtes envoyées par LinkedIn au chargement de la page. Le rapport BrowserGate publié par Fairlinked e.V. détaille les noms de domaine et les endpoints utilisés par le script de scan. Vous pouvez également utiliser un bloqueur de contenu pour filtrer les scripts concernés.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
DHS : HSIN compromise avant la Coupe du Monde 2026
Le DHS américain confirme la compromission de HSIN, sa plateforme centrale de partage d'informations sécurité entre agences fédérales et secteur privé, par un acteur inconnu entre fin mai et début juin 2026.
Adobe ColdFusion : sept failles CVSS 10.0 dont une exploitée
Adobe a corrigé sept failles CVSS 10.0 dans ColdFusion le 1er juillet 2026. L'une d'elles, CVE-2026-48282, a été exploitée dans la nature en moins de deux heures après sa divulgation.
TrojPix : exfiltration air-gap à 8,1 Mbps par câble vidéo
Des chercheurs de l'Université de Shandong ont démontré TrojPix, une technique d'exfiltration depuis des systèmes air-gapped via les émissions radio du câble vidéo, atteignant 8,1 Mbps sur 208 mètres.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire