🔍 Contexte

Publié le 3 avril 2026 par BleepingComputer, cet article rapporte les conclusions d’un rapport baptisé “BrowserGate” (https://browsergate.eu/), produit par l’association Fairlinked e.V., affirmant que LinkedIn (Microsoft) injecte des scripts JavaScript cachés dans les sessions utilisateurs pour scanner les extensions de navigateur installées et collecter des données système.

🛠️ Mécanisme technique observé

BleepingComputer a confirmé indépendamment la présence d’un fichier JavaScript au nom de fichier aléatoire chargé par le site LinkedIn. Ce script :

  • Vérifie la présence de 6 236 extensions de navigateur en tentant d’accéder aux ressources de fichiers associées à chaque identifiant d’extension (technique connue de détection d’extensions)
  • Collecte des données système : nombre de cœurs CPU, mémoire disponible, résolution d’écran, fuseau horaire, paramètres de langue, état de la batterie, informations audio, fonctionnalités de stockage
  • Cible notamment des extensions concurrentes aux outils commerciaux de LinkedIn : Apollo, Lusha, ZoomInfo, ainsi que des extensions de grammaire, outils fiscaux et autres

📈 Évolution du script

  • Signalé une première fois en 2025 avec ~2 000 extensions détectées
  • Un dépôt GitHub datant de deux mois avant l’article montrait ~3 000 extensions
  • La version actuelle couvre 6 236 extensions, démontrant une croissance continue

🏢 Position de LinkedIn

LinkedIn reconnaît la détection d’extensions mais justifie cette pratique par :

  • La protection de la vie privée des membres et la stabilité de la plateforme
  • La détection d’extensions qui scrapent des données sans consentement ou violent les CGU
  • L’identification de comptes générant des volumes anormaux de requêtes

LinkedIn attribue le rapport BrowserGate à l’auteur de l’extension “Teamfluence”, dont le compte a été restreint pour violation des CGU. Un tribunal allemand a rejeté la demande d’injonction préliminaire de cet individu.

🔗 Précédents similaires

Des techniques similaires ont été utilisées par eBay (2021, scan de ports automatisé via JavaScript) et d’autres entreprises : Citibank, TD Bank, Ameriprise, Chick-fil-A, Equifax IQ connect, TIAA-CREF, Sky, GumTree, WePay.

📌 Nature de l’article

Article de presse spécialisée documentant une pratique de fingerprinting de navigateur à grande échelle par une plateforme commerciale majeure, avec confirmation technique partielle par la rédaction.

🧠 TTPs et IOCs détectés

TTP

  • T1592.004 — Gather Victim Host Information: Client Configurations (Reconnaissance)
  • T1185 — Browser Session Hijacking (Collection)
  • T1217 — Browser Information Discovery (Discovery)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 6580 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/linkedin-secretly-scans-for-6-000-plus-chrome-extensions-collects-data/