BrowserGate : LinkedIn scanne vos extensions de navigateur en secret

Ce qui s'est passé

L'association européenne Fairlinked e.V., qui regroupe des utilisateurs commerciaux de LinkedIn, a publié début avril 2026 les résultats d'une investigation accablante. Selon leur rapport, LinkedIn injecte un bundle JavaScript de 2,7 Mo dans chaque page du site. Ce script scanne le navigateur des visiteurs pour détecter la présence de plus de 6 000 extensions Chrome spécifiques, assemble une empreinte matérielle détaillée, la chiffre et la transmet aux serveurs de LinkedIn où elle est rattachée à chaque action ultérieure de la session.

L'ampleur du scan a explosé au fil des années. En 2017, LinkedIn ciblait 38 extensions. En 2024, ce nombre était passé à 461. En février 2026, la liste atteignait 6 167 extensions, soit une augmentation de 1 252 % en deux ans. Les données collectées incluent le nombre de cœurs CPU, la mémoire disponible, la résolution d'écran, le fuseau horaire, les paramètres de langue et le statut de la batterie. Certaines extensions identifiées peuvent révéler des informations sensibles comme les convictions religieuses, les opinions politiques ou l'état de santé de l'utilisateur.

LinkedIn a répondu en déclarant que le scan vise à détecter les extensions qui extraient des données sans le consentement des membres, afin de protéger leur vie privée et d'assurer la stabilité du site. L'entreprise affirme ne pas utiliser ces données pour « inférer des informations sensibles sur les membres ». Toutefois, aucune mention de cette pratique n'apparaît dans la politique de confidentialité de la plateforme, ce qui pose un problème juridique majeur, notamment au regard du RGPD.

Pourquoi c'est important

Cette révélation soulève des questions fondamentales sur les pratiques de collecte de données des grandes plateformes. Le navigateur est devenu un outil central de notre vie professionnelle et personnelle. Scanner silencieusement les extensions installées équivaut à inspecter les applications d'un smartphone sans consentement. Certaines extensions comme les gestionnaires de mots de passe, les VPN ou les outils d'accessibilité peuvent révéler des informations très personnelles sur l'utilisateur.

Le cadre réglementaire européen, notamment le RGPD et le Digital Markets Act, exige une transparence totale sur la collecte de données significatives. Une opération de scanning de cette ampleur, conduite sans la moindre mention dans une politique de confidentialité, semble difficilement compatible avec ces exigences. Les entreprises qui gèrent la sécurité de leurs accès cloud doivent évaluer l'impact potentiel de cette collecte sur leurs employés utilisant LinkedIn.

Pour les professionnels de la cybersécurité, BrowserGate illustre aussi un vecteur d'attaque potentiel. Si un acteur malveillant parvenait à compromettre ce mécanisme de scan, il disposerait d'une cartographie détaillée des outils de sécurité installés par des millions d'utilisateurs, facilitant considérablement le ciblage d'attaques. La sécurité de la supply chain applicative passe aussi par la vigilance sur les scripts tiers exécutés dans le navigateur.

Ce qu'il faut retenir

• LinkedIn scanne plus de 6 000 extensions Chrome sans consentement explicite, une pratique qui pourrait violer le RGPD et le Digital Markets Act en Europe.
• Les entreprises devraient auditer les scripts exécutés par les plateformes tierces accessibles depuis les postes de travail, et envisager des politiques de Zero Trust plus strictes.
• Les utilisateurs peuvent se protéger en utilisant un profil de navigateur dédié pour LinkedIn, ou en bloquant les scripts tiers via une extension comme uBlock Origin.