Chaque fois que vous ouvrez LinkedIn, un script invisible passe votre navigateur au peigne fin. Il cherche quelles extensions Chrome vous avez installées, combien de coeurs possède votre processeur, la résolution de votre écran, et même le niveau de votre batterie. Personne ne vous a rien demandé.
Un rapport met le feu aux poudres
Le 3 avril, un rapport baptisé « BrowserGate » et publié par l’association allemande Fairlinked e.V. a révélé l’existence de ce mécanisme. Vérification faite par BleepingComputer, le code existe bel et bien. LinkedIn injecte un fichier JavaScript aux noms volontairement aléatoires dans chaque session utilisateur. Ce fichier tente d’accéder aux ressources internes de milliers d’extensions, une technique documentée sur le site browserleaks.com. Si la ressource répond, l’extension est présente. Si elle échoue, elle ne l’est pas. Le tout s’exécute en arrière-plan, sans notification, sans alerte, sans case à cocher.
Le nombre d’extensions ciblées a explosé en quelques mois. En 2025, le script en vérifiait environ 2 000. Deux mois plus tard, ce chiffre grimpait à 3 000. La liste actuelle contient 6 236 identifiants d’extensions, selon le rapport. Une analyse indépendante situe le nombre d’extensions activement confirmées plus bas, autour de 2 953, mais la tendance reste la même : le filet se resserre à chaque mise à jour.
Religion, politique, handicap : le contenu du scan
Ce qui transforme ce scan technique en scandale potentiel, c’est la nature des extensions surveillées. Parmi les 6 236 cibles, on trouve 509 outils de recherche d’emploi. Autrement dit, LinkedIn peut savoir si vous cherchez un poste ailleurs alors que votre profil affiche « pas ouvert aux opportunités ». Plus de 200 extensions appartiennent à des concurrents directs de LinkedIn, dont Apollo, Lusha et ZoomInfo, des outils de prospection commerciale. Scanner ces extensions revient à espionner quelles entreprises utilisent les produits rivaux.
Le rapport va plus loin. Certaines extensions dans la liste correspondent à des pratiques religieuses, des convictions politiques ou des outils d’accessibilité liés à la neurodivergence. En Europe, le RGPD classe ces informations dans les « données sensibles », soumises à des conditions de traitement beaucoup plus strictes que les données classiques.
Vos données partent chez un tiers
Le scan ne reste pas en interne. Selon le rapport, les résultats sont chiffrés puis transmis aux serveurs de LinkedIn et à des tiers, dont HUMAN Security, une entreprise américano-israélienne spécialisée dans la détection de fraude en ligne. La politique de confidentialité de LinkedIn ne mentionne pas explicitement cette collecte. Les utilisateurs n’ont aucun moyen de la désactiver depuis les paramètres de leur compte.
Côté empreinte matérielle, le script récupère le nombre de coeurs du processeur, la mémoire disponible, la résolution d’écran, le fuseau horaire, la langue du système, l’état de la batterie et des informations audio. Combinés, ces paramètres forment ce que les spécialistes appellent une empreinte numérique (browser fingerprint), un identifiant quasi unique qui permet de vous suivre d’un site à l’autre, même si vous bloquez les cookies.
LinkedIn se défend, le rapport vacille sur un point
Face à ces révélations, LinkedIn a répondu à BleepingComputer. L’entreprise affirme utiliser la détection d’extensions « pour identifier les outils qui aspirent les données des membres sans leur consentement ou qui enfreignent les conditions d’utilisation ». Le scan servirait à « améliorer les défenses techniques » et « comprendre pourquoi un compte récupère un volume anormal de données ».
LinkedIn a aussi contesté la crédibilité du rapport en affirmant que son auteur principal avait vu son compte banni pour scraping, c’est-à-dire pour avoir lui-même aspiré des données de la plateforme. Un point qui nuance la neutralité de la source, mais qui ne remet pas en cause l’existence du script : BleepingComputer l’a vérifié de manière indépendante.
Un précédent qui interroge au-delà de LinkedIn
La technique utilisée par LinkedIn n’est pas nouvelle. D’autres sites l’exploitent pour détecter des bloqueurs de publicités ou des extensions de triche sur les plateformes d’examen en ligne. Mais l’échelle et la nature des données collectées placent LinkedIn dans une catégorie à part. Scanner plus de 6 000 extensions revient à dresser un portrait détaillé des habitudes numériques de chaque visiteur : son métier, ses centres d’intérêt, ses convictions, ses éventuels handicaps.
Le timing pose aussi question. Le Parlement européen a renforcé le Digital Services Act en janvier 2026, avec de nouvelles obligations de transparence pour les grandes plateformes. La Commission européenne peut ouvrir des enquêtes lorsque les pratiques de collecte dépassent ce que les utilisateurs peuvent raisonnablement anticiper.
En France, la CNIL rappelle régulièrement que le fingerprinting relève du consentement au même titre que les cookies. En 2023, elle avait sanctionné Criteo de 40 millions d’euros pour des pratiques de suivi comparables. LinkedIn rassemble 1,1 milliard de membres dans le monde, dont plus de 29 millions en France. L’ampleur du public touché pourrait attirer l’attention des régulateurs.
Se protéger, mais jusqu’à un certain point
Quelques parades existent. Utiliser Firefox au lieu de Chrome bloque une partie du scan, car les identifiants d’extensions diffèrent entre navigateurs. Les profils de navigation séparés ou les conteneurs d’onglets (comme ceux de Firefox Multi-Account Containers) limitent le partage d’informations entre les sites. Désactiver JavaScript neutralise le script, mais rend LinkedIn inutilisable.
Le fond du problème dépasse la technique. LinkedIn est un réseau professionnel quasi incontournable. Des millions de personnes y maintiennent un profil pour trouver un emploi, développer leur réseau ou suivre leur secteur. Apprendre que la plateforme profite de chaque visite pour inventorier leur navigateur change la nature de la relation : ce n’est plus un outil de mise en réseau, c’est un outil de surveillance qui connaît vos extensions, votre matériel et vos centres d’intérêt avant même que vous n’ayez tapé un mot.
Microsoft, propriétaire de LinkedIn depuis 2016, n’a pas commenté les conclusions du rapport au-delà de la déclaration initiale. L’association Fairlinked annonce la publication d’un second volet dans les semaines à venir, centré cette fois sur les usages publicitaires des données collectées.
