Fairlinked e.V., une association européenne d’utilisateurs professionnels de LinkedIn, pointe du doigt les pratiques du réseau social. Selon les investigations menées par l’association, un programme JavaScript de 2,7 mégaoctets se charge automatiquement en arrière-plan à chaque fois que vous ouvrez LinkedIn sur Chrome, ou un autre navigateur basé sur le moteur Chromium. En interne, le programme est appelé Spectroscopy. Notez que l’existence du programme JavaScript de LinkedIn a été confirmée par nos confrères de Bleeping Computer
Selon les chercheurs de Fairlinked e.V, le programme de LinkedIn envoie jusqu’à 6 222 requêtes simultanées pour détecter la présence ou l’absence d’extensions spécifiques sur votre navigateur… à votre insu. Le réseau social se garde bien de prévenir ses utilisateurs par le biais d’une notification, ou de leur demander leur accord au préalable.
À lire aussi : Des milliers de pubs malveillantes pour de l’IA inondent Facebook et LinkedIn
Extensions, données sensibles et infraction au RGPD
Parmi les plus de 6 000 extensions scannées, on trouve plus de 200 concurrents directs de LinkedIn, dont des plateformes de prospection commerciale comme Apollo, Lusha ou ZoomInfo. En récupérant ces informations, le réseau social de Microsoft est susceptible de déterminer quelles entreprises utilisent quels outils de prospection. C’est un avantage concurrentiel de taille, et déloyal, pour la plateforme. Pire, la collecte d’extensions est aussi liée à des informations parfois sensibles. LinkedIn s’intéresse à des extensions liées à la neurodivergence, à des pratiques religieuses, à des engagements politiques, ou encore à des activités de recherche d’emploi. Cette collecte représente une infraction au Règlement Général sur la Protection des Données (RGPD), qui encadre le traitement des données en Europe. Le règlement oblige les sites à obtenir un consentement explicite pour tout traitement de données sensibles.
Selon le rapport, la collecte d’informations s’est accélérée chez LinkedIn au cours des dernières années. En 2026, le réseau social scanne 6 167 extensions, contre 461 en 2024 et seulement 38 en 2017. Au-delà des extensions, le script collecte 48 caractéristiques techniques de votre ordinateur, dont le nombre de cœurs du processeur, la mémoire disponible, la résolution d’écran, le fuseau horaire, les paramètres de langue, l’état de la batterie, ou encore la capacité de stockage. Mises bout à bout, ces informations permettent de dresser l’empreinte numérique unique de votre appareil. En d’autres termes, il est possible d’identifier l’ordinateur dont vous vous servez.
Une fois assemblée, cette empreinte est chiffrée et transmise aux serveurs de LinkedIn. Elle est ensuite attachée à chaque requête effectuée durant votre passage sur le réseau social. Chaque recherche, chaque consultation de profil, chaque message envoyé… tout est accompagné de l’empreinte de votre machine. C’est une véritable opération de surveillance à grande échelle.
LinkedIn passe aux aveux
Interrogé par Bleeping Computer, LinkedIn n’a pas nié les faits, mais précise que le dispositif vise uniquement à détecter les extensions qui extraient des données sans consentement. Les données ne servent pas à « déduire des informations sensibles sur les membres », indique la plateforme de Microsoft. Pour protéger « la vie privée et les données de nos membres, ainsi que la stabilité de la plateforme, nous identifions les extensions qui collectent des données sans leur consentement ou qui enfreignent les conditions d’utilisation de LinkedIn ». Le site explique brièvement comment se déroule la collecte d’informations :
« Certaines extensions exposent des ressources statiques — images ou scripts JavaScript — qu’elles peuvent injecter dans nos pages web. Nous pouvons détecter leur présence en vérifiant si l’URL de ces ressources est accessible. Nous pouvons détecter leur présence en vérifiant si l’URL de ces ressources est accessible. […] Nous exploitons ces informations pour identifier les extensions qui enfreignent nos conditions d’utilisation, renforcer nos défenses techniques et comprendre pourquoi certains comptes membres peuvent collecter un volume anormal de données appartenant à d’autres utilisateurs », déclare LinkedIn.
Par ailleurs, LinkedIn souligne que Fairlinked e.V, l’association à l’origine de la recherche, « fait l’objet d’une restriction de compte pour scraping et autres violations des conditions d’utilisation ». Selon le réseau social, son principal accusateur a pris l’habitude de collecter illégalement les données des internautes par le biais du scraping. Ce procédé consiste à parcourir automatiquement Internet pour en récupérer des infos publiques à l’aide d’un logiciel. L’association dépend d’ailleurs Teamfluence Signal Systems, une entreprise estonienne dont l’extension Chrome a été bloquée par LinkedIn pour violation de ses conditions d’utilisation.
Ce n’est pas la première fois que LinkedIn se retrouve accusé de traitement illégal de données. En octobre 2024, la Commission irlandaise de protection des données (DPC) a infligé au réseau social une amende de 310 millions d’euros pour traitement illégal de données personnelles à des fins de publicité ciblée.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Bleeping Computer
