Oktalink
Accueil
Nos Solutions
Nos Outils
Blog
Contactez un expert

BrowserGate : LinkedIn accusé de scanner 6 000+ extensions Chrome à l’insu de ses utilisateurs

Accueil / Actualités / BrowserGate : LinkedIn accusé de scanner 6 000+ extensions Chrome à l’insu de ses utilisateurs

Par Romain – Expert Cybersécurité chez Oktalink Temps de lecture : 5 minutes (Enquête Spéciale)

Sommaire

  1. L’affaire BrowserGate : Une surveillance industrielle invisible
  2. Analyse technique : Le bundle JavaScript "chunk.905" mis à nu
  3. 6 222 extensions ciblées : Une montée en puissance vertigineuse
  4. Données sensibles et RGPD : Ce que vos extensions disent de vous
  5. Le secret des affaires : Un outil de renseignement économique pour LinkedIn ?
  6. Cadre légal : DMA, ePrivacy et risques de sanctions
  7. Solutions Oktalink : Comment protéger votre environnement de navigation

1. L’affaire BrowserGate : Une surveillance industrielle invisible

Début 2026, l'organisation Fairlinked a lâché une bombe médiatique et technique baptisée BrowserGate. L'accusation est limpide : LinkedIn utiliserait un système automatisé pour scanner les extensions installées dans les navigateurs (Chrome, Edge, Brave) de ses visiteurs, sans aucun consentement.

Ce n'est pas une simple "collecte de cookies". Selon le dossier, LinkedIn chercherait activement à dresser une carte d'identité logicielle de votre navigateur à chaque chargement de page. Pour Oktalink, nous franchissons ici une ligne rouge : votre navigateur est votre espace privé, et LinkedIn semble s'y être invité sans frapper.

2. Analyse technique : Le bundle JavaScript "chunk.905" mis à nu

Le dossier BrowserGate s'appuie sur une preuve matérielle : un fichier JavaScript de production d'environ 2,7 Mo (le fameux chunk.905). Ce script, composé de plus de 13 000 lignes de code minifié, contiendrait le moteur de détection.

Comment fonctionne ce "scan" ?

  1. Appel silencieux : Le script tente d'accéder à des ressources internes (images ou icônes) appartenant aux extensions via des chemins spécifiques (Web Accessible Resources).
  2. Déduction binaire : Si la ressource charge, l'extension est présente. Si elle échoue, elle ne l'est pas.
  3. Chiffrement et exfiltration : Les résultats sont collectés, chiffrés, puis envoyés vers les serveurs de LinkedIn (parfois via des systèmes tiers comme HUMAN Security ou reCAPTCHA).

3. 6 222 extensions ciblées : Une montée en puissance vertigineuse

Ce qui frappe le plus dans l'analyse de BrowserGate, c'est l'échelle industrielle du dispositif. On ne parle pas de quelques extensions populaires, mais d'une liste codée en dur de 6 222 extensions.

L'historique de cette liste montre une obsession croissante pour le suivi :

  • 2017 : 38 extensions ciblées.
  • 2024 : 461 extensions.
  • Début 2026 : Plus de 6 000 extensions, représentant un bassin cumulé de 405 millions d'utilisateurs.

4. Données sensibles et RGPD : Ce que vos extensions disent de vous

Une extension n'est pas qu'un outil ; c'est un aveu de vos habitudes. En listant vos extensions, LinkedIn pourrait déduire des données ultra-sensibles protégées par l'Article 9 du RGPD :

  • Convictions religieuses : (ex: extensions de rappels de prières ou d'aide alimentaire spécifique).
  • Opinions politiques : (ex: outils de blocage de contenus partisans).
  • État de santé / Neurodivergence : (ex: extensions d'aide à la lecture pour dyslexie).
  • Vie privée : Utilisation de VPN, de gestionnaires de mots de passe ou de bloqueurs de traçage.

5. Le secret des affaires : Un outil de renseignement économique pour LinkedIn ?

C’est l'angle le plus critique pour nos clients chez Oktalink. LinkedIn est un outil professionnel. Savoir quelles extensions un utilisateur possède, c'est faire du renseignement économique gratuit.

En identifiant les outils de prospection (Apollo, Lusha, HubSpot) ou de recrutement installés chez ses visiteurs, LinkedIn peut :

  • Identifier quelles entreprises utilisent des solutions concurrentes.
  • Savoir quelles équipes sont en phase de recrutement actif.
  • Détecter les stratégies de prospection de ses propres clients B2B.

"Imaginez qu'en entrant dans un salon pro, l'organisateur regarde discrètement dans votre mallette pour noter quels logiciels vous utilisez et avec quels clients vous travaillez. C'est le cœur de l'affaire BrowserGate."

6. Cadre légal : DMA, ePrivacy et risques de sanctions

LinkedIn, en tant que service de Microsoft (désigné "Gatekeeper" par la Commission Européenne), est soumis au Digital Markets Act (DMA). Cette pratique de scan pourrait être jugée comme une distorsion de concurrence déloyale.

Par ailleurs, l'Article 5(3) de la directive ePrivacy interdit l'accès à des informations stockées sur l'équipement de l'utilisateur sans un consentement explicite. Entre le RGPD et le DMA, LinkedIn s'expose à des procédures juridiques massives en Europe et notamment en Allemagne, où le droit national (TDDDG) est particulièrement sévère sur l'accès aux terminaux.

🛡️

Oktalink Sentinel : Le bouclier ultime contre les ransomwares.

Protection par Intelligence Artificielle (EDR). Nous bloquons les menaces avant qu'elles n'atteignent vos données.

7. Solutions Oktalink : Comment protéger votre environnement de navigation

Face à ces pratiques de "fingerprinting" agressives, la défense passive ne suffit plus. Chez Oktalink, nous recommandons une approche proactive pour les entreprises :

  1. Audit de confidentialité des navigateurs : Nous analysons les scripts chargés par vos outils métiers pour bloquer les tentatives de scan.
  2. Déploiement de solutions Anti-Fingerprinting : Utilisation de navigateurs durcis ou de couches d'isolation (Browser Isolation) qui masquent la liste des extensions aux sites tiers.
  3. Gouvernance IT : Centralisation de la gestion des extensions Chrome via des politiques de groupe (GPO) pour limiter l'exposition des données sensibles.
  4. Veille RGPD : Nous vous accompagnons dans la mise en conformité de vos outils de prospection pour éviter qu'ils ne deviennent des chevaux de Troie.

Votre navigateur est votre dernier périmètre de confidentialité. Ne laissez pas les plateformes en faire un livre ouvert. Contactez Oktalink pour sécuriser votre navigation.

Vous avez aimé cet article ? Partagez le