Josselin HANEL.
FR EN DE
Mode Éco
Mode Éco activé — Une version alternative du site, optimisée pour les connexions lentes et la navigation mobile.
← Retour au blog

BrowserGate : LinkedIn scanne secrètement vos extensions de navigateur

securite, vie-privee, eco-conception

Le 6 avril 2026, l'association européenne Fairlinked e.V. publie un rapport explosif : LinkedIn injecte secrètement un bundle JavaScript de 2,7 Mo dans son site, capable de scanner votre navigateur à chaque visite. Le scandale est baptisé BrowserGate.

Comment ça fonctionne

Le script, nommé "Spectroscopy", effectue trois opérations à chaque chargement de page :

  1. Scan des extensions : 6 222 requêtes simultanées sont lancées pour détecter les extensions Chrome installées sur votre navigateur.
  2. Fingerprinting matériel : 48 caractéristiques sont collectées, dont le nombre de cœurs CPU, la mémoire disponible, la résolution d'écran, le fuseau horaire, la langue, l'état de la batterie…
  3. Transmission chiffrée : ces données sont chiffrées et jointes à chaque requête API de votre session.

Tout cela se passe sans aucune mention dans la politique de confidentialité de LinkedIn.

L'ampleur de la surveillance

La croissance de cette liste est vertigineuse :

  • 2017 : 38 extensions surveillées
  • 2024 : 461 extensions surveillées
  • Février 2026 : 6 167 extensions surveillées, soit +1 252% en deux ans

Parmi les extensions ciblées : plus de 200 outils concurrents de LinkedIn (Apollo, Lusha, ZoomInfo), mais aussi des outils liés à des conditions neurodivergentes, des pratiques religieuses, des opinions politiques ou des recherches d'emploi actives. Plus d'un milliard d'utilisateurs sont potentiellement concernés.

La réponse de LinkedIn

LinkedIn reconnaît scanner les extensions, mais affirme que c'est uniquement pour détecter celles qui "scrappent des données en violation des conditions d'utilisation". La plateforme nie utiliser ces informations pour "inférer des données sensibles".

LinkedIn qualifie également le rapport de campagne de diffamation, attribuant son origine à un développeur d'extension dont le compte a été suspendu pour scraping.

Certains chercheurs en sécurité nuancent : Tyler Reguly (Fortra) parle de "resource probing" plutôt que d'espionnage, et estime que beaucoup d'extensions ciblées sont effectivement malveillantes. Il considère les accusations excessives. Mais même lui reconnaît le problème central : l'absence totale de transparence.

Le contexte légal

Ce n'est pas la première fois que LinkedIn se retrouve en difficulté sur la protection des données. En octobre 2024, la Commission irlandaise de protection des données lui infligeait déjà une amende de 310 millions d'euros pour violations du RGPD liées à la publicité ciblée.

BrowserGate soulève de nouvelles questions : collecter des données potentiellement sensibles (convictions religieuses, état de santé, activité professionnelle) sans consentement explicite va à l'encontre du RGPD pour les utilisateurs européens.

Ce que vos données financent

Depuis septembre 2024, LinkedIn utilise vos données pour entraîner les IA de Microsoft, activé par défaut, avec des données remontant à 2003. Microsoft a investi 13 milliards dans OpenAI et détient le contrat cloud du Pentagone à 9 milliards. Pendant qu'OpenAI interdisait encore les usages militaires, le Pentagone testait déjà ses modèles via Azure. En 2026, OpenAI a officialisé un accord direct avec le Pentagone pour déploiement dans des réseaux classifiés.

Votre abonnement et vos données alimentent un écosystème dont les priorités n'ont plus grand chose à voir avec le réseau professionnel qu'on vous a vendu.

L'angle qu'on oublie

2,7 Mo de JavaScript de surveillance. 6 222 requêtes HTTP lancées en parallèle. À chaque visite. Et ça, pour chacun de leurs milliards d'utilisateurs.

C'est une illustration parfaite de ce que le développement sans contrainte produit : du code qui sert les intérêts de la plateforme, chargé silencieusement sur votre appareil, consommant votre bande passante, votre batterie, vos ressources. Zéro bénéfice pour vous.

Un site qui respecte ses utilisateurs ne fait pas ça. Et un site bien conçu n'a pas besoin de le faire.

La surveillance n'est pas gratuite. Elle a un coût énergétique, un coût en confiance, et de plus en plus un coût juridique. L'éco-conception, c'est aussi décider de ne charger que ce qui est nécessaire à l'utilisateur.

Pour ma part, j'ai supprimé mon compte suite à cette affaire. BrowserGate n'est pas un incident isolé : c'est le énième exemple d'un grand groupe qui traite ses utilisateurs comme une ressource à exploiter. Je trouve aussi que LinkedIn reste fondamentalement trop col blanc, trop lisse, peu accessible à ceux qui ne rentrent pas dans les cases du CV classique.

Si quelqu'un a envie de construire un réseau de networking plus sain, plus ouvert, plus honnête avec ses utilisateurs, je suis partant pour en parler.

Sources : Fairlinked e.V.The Next WebTechRadarSecurityWeekMalwarebytesGizmodoTech Insider

Articles similaires

EmDash : Cloudflare valide mes choix techniques, mais ne va pas assez loin

Cloudflare vient de lancer un CMS concurrent de WordPress, construit sur Astro, exactement la technologie que j'utilise. Ça valide des choix. Ça ne règle pas tout.

React2Shell : 77 000 serveurs exposés, exploitation massive en quelques heures

Le 3 décembre, Meta divulgue CVE-2025-55182 : faille critique 10/10 dans React Server Components. 77 000 serveurs vulnérables, 30 organisations compromises. Ce que ça révèle sur la complexité du web moderne.

Un projet en tête ?

N'hésitez pas à me contacter pour un devis gratuit sans engagement.

Me contacter

+33 7 81 33 97 68

josshanel@gmail.com