Profilage des utilisateurs : LinkedIn scanne en secret 6 236 extensions Chrome

LinkedIn charge un script JavaScript discret qui teste, à chaque visite, si ton navigateur a certaines extensions installées. Le principe est simple, le site tente d’accéder à des ressources liées à des identifiants d’extensions, puis envoie le résultat vers ses serveurs, avec d’autres signaux techniques du navigateur.

Le point qui fait réagir, c’est l’ampleur et le manque de transparence perçu. La liste testée est passée de 461 extensions en 2024 à plus de 6 000 début 2026, avec un chiffre observé à 6 236 extensions. Des outils liés à LinkedIn sont ciblés, mais aussi des extensions de langue, de fiscalité, ou de productivité, ce qui alimente les craintes de profilage et de cartographie d’usages.

Fairlinked e. V. décrit une détection de 6 236 extensions

Le mécanisme rapporté repose sur une technique connue dans le monde de la sécurité, la détection d’extensions par accès à des fichiers internes associés à un identifiant. Concrètement, le script essaye d’ouvrir une ressource attendue pour une extension donnée, et déduit « installée » ou « absente » selon la réponse. Ce n’est pas un piratage au sens classique, c’est une forme de fingerprinting qui enrichit l’empreinte du navigateur.

Ce qui change d’échelle, c’est la taille de la liste. Les observations publiées évoquent une progression rapide, d’environ 2 000 extensions détectées en 2025, puis 3 000 dans un dépôt plus récent, jusqu’à dépasser 6 000 en février 2026. Dans des tests indépendants, un fichier JavaScript au nom aléatoire a été vu en chargement sur LinkedIn, avec une liste intégrée d’identifiants d’extensions.

Dans les éléments décrits, la détection ne se limite pas à des extensions « LinkedIn ». Sont aussi mentionnées des extensions de grammaire, des outils destinés à des professionnels de la fiscalité, et d’autres catégories qui n’ont pas de lien évident avec un réseau social professionnel. C’est précisément ce mélange qui alimente le débat, parce qu’il laisse entendre une collecte plus large que la simple lutte contre l’abus.

Un angle souvent oublié, c’est la corrélation possible avec un compte. Si un site associe les résultats à un profil identifié, la liste d’extensions devient un attribut personnel, pas juste un signal anonyme. C’est là que la critique monte d’un cran, parce qu’une extension peut trahir un usage, une contrainte, ou une activité sensible, même si le contenu de navigation n’est pas directement lu.

Le script collecte aussi CPU, mémoire, batterie et langue

La détection d’extensions n’arrive pas seule. Les informations décrites incluent des caractéristiques de l’appareil et du navigateur, comme le nombre de curs CPU, la mémoire disponible, la résolution d’écran, le fuseau horaire, la langue, ou des paramètres de stockage. Pris séparément, ces signaux existent déjà dans de nombreux environnements web, mais additionnés, ils renforcent l’identification probabiliste d’un visiteur.

Dans la liste citée, on trouve aussi l’état ou des attributs de batterie, des informations audio, et des capacités de stockage. Même si chaque champ ne permet pas à lui seul d’identifier quelqu’un, l’ensemble peut produire une signature stable. Pour un service qui lutte contre le scraping et les comptes automatisés, c’est un levier, parce qu’un bot a souvent une empreinte « propre », répétitive, ou atypique.

Un exemple concret, tu peux avoir un ordinateur de bureau récent, 16 Go de RAM, un écran 25601440, un navigateur en français, et un fuseau Europe/Paris. Ajoute une poignée d’extensions, et tu obtiens une empreinte beaucoup plus rare dans la population. Un spécialiste sécurité cité dans les discussions, Marc, résume le problème en une phrase, « tu n’as pas besoin de ton nom si tu as une empreinte qui colle à ton compte ».

Il y a aussi un effet secondaire, ce type de collecte peut distinguer des environnements professionnels. Dans une entreprise, les postes sont souvent configurés de manière homogène, avec des extensions imposées. Si LinkedIn observe un même ensemble d’extensions sur des dizaines de comptes, il peut inférer des regroupements, des équipes, ou des habitudes d’outillage, même sans chercher à le faire explicitement.

BrowserGate alerte sur le profilage via extensions sensibles

Le rapport surnommé BrowserGate insiste sur un point, certaines extensions peuvent révéler des informations personnelles indirectes. Une extension installée pour l’accessibilité peut suggérer une situation de handicap, une extension liée à des pratiques religieuses peut suggérer une appartenance, et des outils de lecture politique peuvent indiquer une orientation. Le problème n’est pas que l’extension « prouve » quoi que ce soit, mais qu’elle devient un signal exploitable.

Le même raisonnement vaut pour la recherche d’emploi. Des extensions dédiées à la candidature, au suivi de CV, ou à l’automatisation de démarches peuvent signaler une phase de mobilité. Sur un réseau où la réputation, la confidentialité et la stratégie de carrière comptent, ce soupçon suffit à inquiéter. Marc, recruteur indépendant, explique qu’il évite déjà de consulter certains profils depuis un navigateur « personnel » pour limiter les corrélations techniques, même si cela reste une précaution empirique.

Autre angle, la cartographie de l’écosystème. La pratique décrite inclut la recherche de plus de 200 produits concurrents, ce qui ouvre la porte à une lecture « business intelligence ». Si LinkedIn détecte des outils de prospection, d’automatisation ou de CRM connectés, il peut théoriquement estimer quelles entreprises utilisent quels outils, et à quelle intensité. Le rapport évoque même la possibilité d’extraire des listes de clients de concurrents, ce qui est explosif si c’est avéré.

Nuance indispensable, les tests indépendants confirment l’existence de la détection et une partie de la mécanique, mais pas toutes les intentions ni tous les partages de données. Les critiques portent sur l’absence de consentement explicite et sur la difficulté, pour un utilisateur, de comprendre ce qui part réellement. C’est exactement le genre de zone grise qui nourrit les polémiques, parce que l’utilisateur voit un geste intrusif, sans contexte clair.

LinkedIn vise aussi les outils d’automatisation et d’email finder

LinkedIn est devenu un terrain de jeu pour les extensions. Certaines effacent le fil d’actualité, d’autres ajoutent des fonctions de prospection, d’autres encore récupèrent des emails ou automatisent des invitations. Des chiffres publics sur ces outils donnent un ordre de grandeur, une extension « News Feed Eradicator » est annoncée à 200 000+ utilisateurs, et des outils d’email finder affichent des tarifs allant de 17 à 300 dollars par mois, signe d’un marché très structuré.

Dans ce contexte, détecter des extensions peut servir à plusieurs choses, à commencer par la lutte contre l’abus. Sur des forums techniques, l’argument revient souvent, un bot qui scrape LinkedIn aura peu d’extensions, ou un set très standardisé. Repérer ce pattern peut aider à bloquer du scraping, du spam, ou des comportements automatisés. C’est l’explication « sécurité » la plus crédible, parce qu’elle colle aux enjeux réels du réseau.

Mais la même capacité peut aussi servir à identifier des usages concurrents. Si un compte utilise un outil de prospection tiers, LinkedIn peut adapter ses contrôles, limiter certaines actions, ou renforcer ses détections. Et si l’entreprise observe, à grande échelle, l’adoption de tel outil, elle obtient une lecture du marché. Là, on passe d’une logique de protection à une logique de surveillance concurrentielle, et c’est là que le débat devient politique.

Un exemple parlant, des extensions peuvent injecter du code dans les pages LinkedIn, c’est le principe des content scripts dans Chrome. Des développeurs expliquent comment cibler précisément des URL LinkedIn pour modifier l’interface ou extraire des données. Si LinkedIn détecte ces extensions, il peut réagir plus vite, mais il peut aussi classifier les utilisateurs par « niveau d’outillage », ce qui change la relation entre plateforme et utilisateurs avancés.

Comment réduire l’exposition côté navigateur et extensions

La première mesure, c’est de limiter le nombre d’extensions installées, surtout celles qui sont très spécifiques. Moins tu as d’extensions, moins ton empreinte est unique. C’est basique, mais efficace. Dans une équipe, Marc conseille de séparer les usages, un navigateur « réseaux sociaux » quasi nu, et un navigateur « travail » avec les outils, ce qui réduit la corrélation directe entre identité LinkedIn et boîte à outils complète.

Deuxième piste, configurer ou bloquer certaines extensions. Les discussions techniques notent qu’une partie du problème vient du fait que des ressources d’extensions sont accessibles d’une manière qui permet la détection. Certains estiment que les développeurs d’extensions peuvent modifier leur configuration pour empêcher ces requêtes. C’est une défense côté offre, pas côté utilisateur, donc elle dépend de la réactivité des éditeurs d’extensions.

Troisième piste, utiliser des profils de navigateur séparés. Un profil Chrome dédié à LinkedIn, sans extensions, sans historique partagé, réduit mécaniquement la quantité de signaux. Ce n’est pas une solution parfaite, parce que LinkedIn peut toujours collecter des données d’appareil comme la langue ou la résolution, mais ça enlève la partie la plus « parlante », la liste d’extensions. Pour quelqu’un qui utilise LinkedIn ponctuellement, c’est souvent le compromis le plus simple.

Dernier point, il faut accepter une réalité, sur le web moderne, l’empreinte est partout. La critique légitime, c’est la transparence et le consentement, pas l’existence de toute mesure anti-abus. Beaucoup d’utilisateurs veulent que la plateforme explique clairement ce qu’elle collecte et pourquoi, et qu’elle donne un contrôle. Tant que ce contrôle n’est pas visible, la suspicion reste, même si une partie des motivations peut être défensive.