Chaque fois que vous ouvrez LinkedIn sur Chrome, un script invisible fouille votre navigateur. Il cherche 6 167 extensions, une par une, et envoie la liste à LinkedIn. Vous n’en savez rien. Aucune notification, aucune demande de consentement.
Le rapport, publié début avril 2026 par l’association allemande Fairlinked e.V. sous le nom de code « BrowserGate », documente un mécanisme que BleepingComputer a partiellement confirmé par ses propres tests. Le script, un fichier JavaScript au nom aléatoire chargé à chaque visite, tente d’accéder à une ressource interne de chaque extension. Si le fichier existe, l’extension est installée. Sinon, Chrome bloque la requête. En quelques secondes, LinkedIn sait exactement ce que vous avez ajouté à votre navigateur.
6 167 extensions passées au crible, dont 509 outils de recherche d’emploi
La liste ne se limite pas aux outils concurrents de LinkedIn. Selon le rapport de Fairlinked, elle contient 509 extensions liées à la recherche d’emploi, plus de 200 outils de vente et de recrutement rivaux (Apollo, Lusha, ZoomInfo), mais aussi des filtres religieux, des outils pour personnes neurodivergentes et des extensions liées à des courants politiques. Le chiffre a grimpé : 2 000 extensions détectées en 2025, 5 459 en décembre 2025, 6 167 en février 2026, selon les versions successives du code analysées sur GitHub.
Le problème tient à ce que LinkedIn sait déjà qui vous êtes. Votre vrai nom, votre employeur, votre poste. Quand la plateforme repère une extension de recherche d’emploi sur le navigateur d’un salarié, elle peut en déduire qu’il envisage de partir. Quand elle identifie un filtre de contenu islamique ou un bloqueur de traceurs pro-vie, elle touche à des données que le droit européen classe comme « catégories spéciales » : croyances religieuses, opinions politiques, état de santé.
Deux systèmes de détection qui se complètent
Le rapport technique détaille deux mécanismes distincts. Le premier, baptisé « Active Extension Detection » (AED), envoie 6 167 requêtes fetch() simultanées vers les fichiers internes des extensions. Le second, « Spectroscopy », parcourt l’intégralité de l’arbre DOM de la page pour repérer les traces laissées par des extensions actives. Le premier attrape les extensions passives. Le second détecte celles qui modifient la page, même si elles ne figurent pas dans la liste.
Le script collecte aussi l’empreinte de votre machine : nombre de cœurs du processeur, mémoire disponible, résolution d’écran, fuseau horaire, niveau de batterie, langue du système. Un kit complet de fingerprinting qui permet de vous identifier même sans cookie.
LinkedIn assume la détection, conteste l’usage
Contacté par BleepingComputer, LinkedIn n’a pas nié scanner les extensions. Le réseau professionnel affirme que le dispositif sert à « protéger la vie privée de ses membres et la stabilité du site » en identifiant les extensions qui aspirent les données des profils. La plateforme ajoute que le responsable du rapport, développeur de l’extension Teamfluence, a vu son compte restreint pour scraping et a perdu un recours en justice devant un tribunal allemand.
L’argument se retourne facilement. Même si LinkedIn traque les scrapeurs, rien n’explique pourquoi la liste contient des extensions de grammaire, des outils pour fiscalistes ou des filtres religieux sans lien avec le scraping. Le rapport pointe également que les données seraient transmises à HUMAN Security (anciennement PerimeterX), une société américano-israélienne de cybersécurité, sans que la politique de confidentialité de LinkedIn n’en fasse mention.
Le RGPD et le Digital Markets Act en embuscade
Fairlinked a déposé une plainte à Munich et prépare une action collective. L’association soutient que la collecte de données révélant la religion, les opinions politiques ou l’état de santé viole l’article 9 du RGPD, qui interdit le traitement de ces catégories spéciales sans consentement explicite. Elle accuse aussi LinkedIn d’avoir contourné le Digital Markets Act européen, qui impose aux plateformes dominantes d’ouvrir l’accès aux outils tiers, en élargissant sa liste de surveillance tout en publiant des API minimales.
La pratique n’est pas isolée dans l’industrie. En 2021, eBay avait été pris en flagrant délit de scan de ports sur les machines de ses visiteurs, un script qui vérifiait la présence de logiciels de prise de contrôle à distance. Citibank, TD Bank et Equifax utilisaient le même outil. La différence avec LinkedIn : le réseau relie ces informations à un profil professionnel vérifié, avec nom, photo et historique de carrière.
Comment vérifier si vous êtes concerné
Sur Chromium (Chrome, Edge, Brave), le scan fonctionne à chaque visite de linkedin.com. Firefox et Safari ne sont pas touchés, car leur architecture ne permet pas la détection d’extensions par requête fetch(). Une extension de vérification, « Extension Scanner — BrowserGate », est disponible sur le Chrome Web Store pour contrôler quelles extensions de votre navigateur figurent sur la liste de LinkedIn. Le navigateur Brave bloque déjà les points d’accès clés du script, selon un employé de Brave qui s’est exprimé sur le réseau X.
Pour ceux qui veulent continuer à utiliser LinkedIn sur Chrome, la parade la plus simple reste d’ouvrir le site dans un profil de navigateur dédié, sans extension installée. Une solution de contournement qui, en soi, dit beaucoup sur la confiance que l’on peut accorder à un réseau censé bâtir des relations professionnelles.
