Au cours des derniers jours, l'alarme sur les techniques de suivi que nous avions jusqu'à présent associées davantage à des sociétés publicitaires ou à des entités malveillantes qu'à des réseaux professionnels a été relancée : "BrowserGate.", développé par Fairlinked e.V., assure que LinkedIn intègre dans sa plate-forme des fragments de JavaScript capables d'inspecter le navigateur de chaque visiteur pour vérifier quelles extensions sont installées et recueillir de nombreuses données d'appareil.
Le point préoccupant pour ceux qui ont lu le rapport est que les résultats de cette vérification, selon les auteurs, ne sont pas anonymes: ils seraient liés à la réalité Linked Dans les comptes, ce qui permettrait d'associer une liste d'extensions installées avec des noms, des entreprises et des emplois spécifiques. Si tel était le cas, l'information pourrait révéler les outils commerciaux utilisés par les employés d'une entreprise et en fin de compte cartographier les entreprises qui utilisent certains produits de concurrence, une accusation que le rapport illustre en citant des noms connus de ventes et de prospection.
Certaines de ces allégations ont été vérifiées indépendamment. Moyens techniques tels que Calculateur ont reproduit des contrôles et ont observé Dans le site le chargement d'un script de nom aléatoire qui effectue des tests sur la présence de milliers d'extensions dans les navigateurs Chrome. La technique est connue : le script tente de charger des ressources (par exemple images ou fichiers) associées à des identifiants d'extension spécifiques ; si la ressource existe, c'est une indication que l'extension est présente. Un exemple de cette méthode peut être trouvé dans Fuite du navigateur, qui documente comment certaines fonctionnalités et itinéraires peuvent signaler des extensions installées.
Les données techniques qui ont été trouvées montrent une progression inquiétante: le même type de script a été détecté précédemment avec une couverture d'environ 2.000 extensions, puis un dépôt public dans C'est pas vrai. a montré environ 3 000 et les vérifications les plus récentes indiquent que la détection pourrait dépasser 6 000 extensions. En plus des extensions, le même script recueille des informations sur l'ordinateur et le navigateur : nombre de cœurs CPU, mémoire disponible, résolution d'écran, fuseau horaire, langue, état de batterie et autres paramètres qui aident ensemble à construire une empreinte de périphérique unique.
Pourquoi devrions-nous nous en soucier même si nous ne sommes pas des utilisateurs d'outils commerciaux? Parce que la combinaison d'identificateurs d'extension avec un compte réel sur un réseau professionnel change l'équation. Une empreinte de navigateur isolée est déjà une menace pour la vie privée, mais lorsqu'elle est associée à une identité professionnelle spécifique, la porte s'ouvre à des utilisations qui vont au-delà de la simple télémétrie : de l'identification des clients potentiels d'un outil à la prise de décisions commerciales ou techniques concernant des utilisateurs spécifiques.
Pour sa part, LinkedIn ne nie pas la détection des extensions. La société a expliqué qu'elle suit la présence de certaines extensions pour protéger la plate-forme, empêcher le grattage et détecter les comportements automatisés qui peuvent affecter la stabilité ou la confidentialité des membres. Selon la version que vous avez dépassée, LinkedIn utilise l'existence de ressources statiques liées à certaines extensions pour identifier celles qui injectent du code ou des images dans vos pages, et défend que ce processus est fait à des fins de sécurité et de conformité avec vos conditions d'utilisation. Il a également noté qu'une partie du débat découlait d'un conflit juridique avec le promoteur d'une extension spécifique et qu'un tribunal allemand avait rejeté les mesures provisoires demandées par ce promoteur.
Il y a cependant un espace gris: ni le rapport de Fairlinked ni les vérifications journalistiques n'ont pu prouver publiquement et de manière concluante comment ces données sont utilisées à grande échelle ou si elles sont partagées avec des tiers. L'historique du suivi montre que les techniques initialement justifiées pour des raisons de sécurité peuvent évoluer vers des utilisations commerciales plus larges; il est donc raisonnable de demander la transparence et des limites claires à la collecte, à la conservation et à la finalité des données.
La technique elle-même n'est pas nouvelle; depuis des années, la communauté de la sécurité et de la protection des renseignements personnels met en garde contre la construction d'empreintes digitales à partir des paramètres du navigateur et du système. Des organisations comme la Fondation Frontière Électronique ont expliqué depuis longtemps pourquoi la combinaison de nombreuses petites fonctionnalités d'un navigateur peut en faire un identifiant persistant ( Panopticlick / EFF). La nouveauté dans ce cas est l'échelle et le contexte: un réseau professionnel où les profils sont liés à des identités réelles.
Si vous êtes un lien régulier Chez l'utilisateur et vous êtes préoccupé par votre vie privée, il ya des mesures pratiques que vous devriez savoir. Il ne s'agit pas de s'alarmer, mais de comprendre l'écosystème : examiner les extensions installées, minimiser celles qui ont des permissions étendues, utiliser des navigateurs avec des protections anti-empreintes et garder les profils et les sessions séparés lorsque vous travaillez avec des comptes professionnels sensibles sont des actions qui réduisent la surface d'exposition. Navigateurs orientés vers la vie privée comme Navigateur Tor ou Brave ils offrent de meilleures défenses contre ce type de techniques, bien qu'avec leurs propres limites pour une utilisation quotidienne.
L'histoire de "BrowserGate" pose des questions sur la table qui vont au-delà de LinkedIn : quelles limites devraient exister pour la collecte de signaux dans les sites nécessitant une identité réelle ? Dans quelle mesure la sécurité peut-elle justifier de telles inspections intrusives? Et peut-être plus important encore, comment la collectivité et les organismes de réglementation vérifient-ils que ces données ne finissent pas par alimenter des activités commerciales qui nuisent à la concurrence ou à la vie privée des gens?
Tant que les parties concernées présenteront leurs arguments, les régulateurs, les auditeurs indépendants et la presse technique devraient continuer à demander l'accès aux preuves et aux contrôles. La confiance dans les plateformes qui combinent identité professionnelle et données techniques dépend à la fois des mesures de sécurité légitimes et de la transparence et des limites claires de l'utilisation des informations collectées. Le rapport initial peut être consulté à l'adresse suivante: NavigateurGate, le journaliste vérifie Calculateur et exemples de la manière dont les extensions sont détectées dans Fuite du navigateur et dans les dépôts publics dépôt cité dans GitHub.
En résumé: il y a des preuves techniques que Linked En exécutant un script qui peut identifier des milliers d'extensions et recueillir les paramètres de l'appareil; l'entreprise insiste pour qu'elle le fasse pour protéger la plate-forme; et le débat actuel se concentre sur la transparence sur l'utilisation de ces données et sur les implications de la vie privée et de la concurrence qui peuvent découler du lien entre les impressions techniques et les identités réelles.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...