BrowserGate : LinkedIn scanne 6 222 extensions Chrome en secret
Sommaire
- 6 222 extensions scannées, 48 caractéristiques collectées, zéro consentement
- Pourquoi BrowserGate change la donne pour les dirigeants B2B
- Comment fonctionne Spectroscopy : l'anatomie du scan
- Que scanne LinkedIn et pourquoi le B2B est en première ligne
- Une expansion méthodique : de 38 à 6 222 extensions en neuf ans
- La réponse de LinkedIn, et ce qu'elle ne dit pas
- RGPD, DMA, précédent eBay : un terrain juridique miné
- Ce que BrowserGate change pour vos équipes commerciales
- Plan d'action : 7 mesures pour protéger votre activité B2B
- BrowserGate dans l'écosystème LinkedIn 2026
- FAQ
- Sources
6 222 extensions scannées, 48 caractéristiques collectées, zéro consentement
BrowserGate est le nom donné à l'enquête publiée début avril 2026 par l'association allemande Fairlinked e.V., qui révèle que LinkedIn exécute, à chaque chargement de page, un script JavaScript de 2,7 Mo scannant silencieusement 6 222 extensions Chrome et collectant 48 caractéristiques de l'appareil du visiteur. Ce mécanisme, baptisé « Spectroscopy » par LinkedIn lui-même, fonctionne sans consentement préalable, sans mention dans la politique de confidentialité, et relie le résultat à chaque action réalisée pendant la session.
BleepingComputer a confirmé le comportement par ses propres tests le 3 avril 2026. Une action collective a été déposée trois jours plus tard devant le tribunal fédéral du district nord de Californie.
En bref : LinkedIn scanne en secret 6 222 extensions Chrome, dont plus de 200 outils B2B concurrents (Apollo, Lusha, ZoomInfo, Waalaxy, Lemlist, PhantomBuster) et 509 extensions de recherche d'emploi. Le fingerprinting récupère 48 caractéristiques matérielles. Trois enjeux majeurs : RGPD (données sensibles au sens de l'article 9), DMA (Microsoft est gatekeeper), et risque concurrentiel pour toute entreprise B2B utilisant ces outils. Amende possible : jusqu'à 4 % du chiffre d'affaires mondial de Microsoft.
Pourquoi BrowserGate change la donne pour les dirigeants B2B
LinkedIn n'est pas un réseau social comme les autres. C'est l'infrastructure commerciale de 80 % des leads B2B issus du social, selon les dernières données Dreamdata publiées en mars 2026. La plateforme concentre 46 % du trafic social B2B et affiche un ROAS moyen de 113 %, loin devant Google Ads (78 %) et Meta (29 %).
Cette centralité rend toute dérive de gouvernance critique pour les entreprises qui en dépendent. Quand la plateforme scanne vos outils de prospection à votre insu, elle ne collecte pas une donnée anodine. Elle cartographie votre stack commerciale.
BrowserGate soulève trois questions qu'un dirigeant ne peut plus ignorer : quelles données sur mes équipes LinkedIn possède-t-il réellement, quels outils concurrents identifie-t-il dans mes navigateurs, et quel levier pourra-t-il utiliser demain pour les neutraliser.
Comment fonctionne Spectroscopy : l'anatomie du scan
Le mécanisme de détection d'extensions
Le script Spectroscopy est inclus dans un fichier de production nommé chunk.905, pesant environ 2,7 Mo. À chaque session LinkedIn sous Chrome, Edge ou Brave, le script lance jusqu'à 6 222 requêtes simultanées, chacune testant la présence d'un ID d'extension spécifique.
La technique exploite le fait que chaque extension Chrome expose des ressources accessibles via des URLs au format chrome-extension://[ID]/[ressource]. Si la ressource répond, l'extension est installée. Le script mesure les temps de réponse pour établir un inventaire complet, fiable, et invisible pour l'utilisateur.
Les requêtes sont regroupées par lots de 29 événements, avec 4 tentatives automatiques en cas d'échec, puis compressées au format LZ avant envoi. La charge utile est chiffrée via une clé RSA publique identifiée comme apfcDfPK, et transmise à deux endpoints : li/track et /platform-telemetry/li/apfcDf.
L'empreinte numérique : 48 caractéristiques
En parallèle du scan d'extensions, Spectroscopy collecte une empreinte matérielle à 48 dimensions : nombre de cœurs CPU, mémoire disponible, résolution d'écran, fuseau horaire, langue système, état de la batterie, caractéristiques GPU, polices installées, capacités audio, et autres signaux physiques de l'appareil.
Combinée à l'inventaire des extensions, cette empreinte permet de réidentifier un même utilisateur à travers plusieurs sessions, même sans cookie et même en navigation privée. C'est du fingerprinting au sens strict, une technique explicitement visée par la directive ePrivacy (article 5.3) et par les lignes directrices de la CNIL.
Chiffrement et transmission
💡 Ce que cela implique concrètement : le chiffrement RSA en bout de chaîne n'est pas une protection pour l'utilisateur. Il empêche seulement les tiers d'intercepter les données en clair. LinkedIn, lui, les reçoit en clair côté serveur. Le chiffrement protège l'opération, pas la personne scannée.
Que scanne LinkedIn et pourquoi le B2B est en première ligne
Plus de 200 outils concurrents sous surveillance
L'analyse de la liste des 6 222 extensions, publiée par Fairlinked e.V. sur browsergate.eu, révèle que plus de 200 d'entre elles sont des outils commerciaux directement concurrents de Sales Navigator, Recruiter ou Talent Solutions.
| Catégorie | Exemples d'outils scannés | Enjeu business |
|---|---|---|
| Prospection / enrichissement | Apollo, Lusha, ZoomInfo, Kaspr, Dropcontact | Concurrence frontale avec Sales Navigator |
| Automation LinkedIn | Waalaxy, PhantomBuster, La Growth Machine, Evaboot | Violation des CGU LinkedIn potentielle |
| Cold email / séquences | Lemlist, Mailshake | Concurrence côté outbound |
| CRM | HubSpot, Salesforce, Pipedrive | Cartographie de la stack commerciale |
| Recherche d'emploi | 509 extensions, 1,4 M utilisateurs | Concurrence avec Talent Solutions |
509 extensions de recherche d'emploi
Selon l'enquête de Fairlinked e.V., LinkedIn scanne 509 extensions dédiées à la recherche d'emploi, utilisées par environ 1,4 million de personnes. Parmi elles, des outils d'auto-candidature, de préparation aux entretiens, ou de suivi de candidatures sur d'autres plateformes comme Indeed ou Welcome to the Jungle.
Le rapprochement est immédiat : LinkedIn peut identifier un candidat en recherche active avant qu'il ne mette à jour son profil, avant qu'il n'active le signal « Open to Work », et potentiellement partager ce signal avec les recruteurs abonnés à Recruiter.
Des données sensibles au sens du RGPD
⚠️ Le point juridique critique : parmi les extensions scannées figurent des outils qui signalent directement des caractéristiques protégées par l'article 9 du RGPD :
- Extensions de prière musulmane ou de lecture biblique (données religieuses)
- Extensions d'actualité orientée politiquement (opinions politiques)
- Extensions de suivi de pathologies, diabète, santé mentale (données de santé)
- Extensions d'assistance à la neurodiversité, dyslexie, TDAH (données de santé)
- Extensions de cybersécurité professionnelle (données confidentielles employeur)
Ces catégories nécessitent un consentement explicite et renforcé. Un scan silencieux en est l'exact opposé.
Une expansion méthodique : de 38 à 6 222 extensions en neuf ans
L'enquête retrace l'historique du script Spectroscopy depuis sa première version publique en 2017. À l'époque, LinkedIn scannait 38 extensions. En 2024, la liste atteignait 461 entrées. En février 2026, elle montait à 6 167. Début avril 2026, au moment de la révélation, elle culminait à 6 222 : une progression de 1 252 % en deux ans.
Cette courbe n'est pas le fruit du hasard. Elle correspond, à quelques mois près, à l'expansion commerciale agressive du couple Sales Navigator et Recruiter, et à la montée en puissance d'une nouvelle génération d'outils SaaS B2B plus légers, plus ciblés, et plus redoutables pour l'offre LinkedIn native.
La réponse de LinkedIn, et ce qu'elle ne dit pas
Interrogée par BleepingComputer, LinkedIn a déclaré : « Pour protéger la vie privée de nos membres, leurs données et la stabilité du site, nous recherchons les extensions qui collectent des données sans le consentement des membres ou qui violent nos conditions d'utilisation. » La plateforme ajoute qu'elle « n'utilise pas ces données pour inférer des informations sensibles sur ses membres ».
Trois silences pèsent lourd dans cette réponse.
Premier silence : la politique de confidentialité ne mentionne nulle part le scan d'extensions ni le fingerprinting matériel. L'information légale impose la transparence, pas la rationalisation a posteriori.
Deuxième silence : rien n'explique pourquoi LinkedIn a besoin de scanner 509 extensions de recherche d'emploi pour « protéger la stabilité du site ». Le lien logique est absent.
Troisième silence : aucune indication sur la durée de conservation des empreintes collectées, sur les destinataires internes, ni sur l'utilisation croisée avec les autres produits Microsoft.
Le jugement du tribunal de Munich de janvier 2026, dans l'affaire Teamfluence contre LinkedIn, avait déjà établi que LinkedIn ne peut invoquer la protection de ses CGU pour justifier la collecte massive de données tierces sans base légale valide.
RGPD, DMA, précédent eBay : un terrain juridique miné
RGPD : des données sensibles sans consentement
Le scan viole potentiellement trois articles fondamentaux du RGPD. L'article 5.3 de la directive ePrivacy impose un consentement explicite pour tout accès à des informations stockées dans le terminal de l'utilisateur. L'article 9 du RGPD interdit le traitement de données sensibles sans consentement renforcé. L'article 13 impose une information claire au moment de la collecte.
La CNIL a déjà sanctionné des pratiques analogues à plus petite échelle. Le 5 décembre 2024, elle a condamné la société Kaspr à 240 000 euros d'amende pour aspiration illégale de données LinkedIn via une extension Chrome.
Le précédent le plus lourd reste celui de LinkedIn lui-même : le 24 octobre 2024, la Data Protection Commission irlandaise a infligé à LinkedIn Ireland une amende de 310 millions d'euros pour violation du RGPD sur la publicité comportementale, après une plainte déposée par La Quadrature du Net en 2018.
Digital Markets Act : une double problématique
Microsoft, maison mère de LinkedIn, est désignée « gatekeeper » au titre du Digital Markets Act européen. Cette qualification interdit explicitement à une plateforme contrôlante d'utiliser, pour ses propres services, les données non publiques générées par l'activité de ses utilisateurs professionnels sur la plateforme.
Scanner les extensions d'un concurrent revient précisément à cartographier sa base client. Appliquer un traitement différencié à ces utilisateurs reviendrait à favoriser les services propres de Microsoft au détriment de tiers. Les deux comportements relèvent du DMA. Sanction possible : jusqu'à 10 % du chiffre d'affaires mondial, doublé en cas de récidive.
Le précédent eBay
En 2021, eBay avait été mis en cause pour avoir scanné les ports ouverts des navigateurs de ses visiteurs, incluant ceux d'entreprises comme Citibank, TD Bank ou Equifax. Le scandale avait débouché sur des actions collectives et une révision des pratiques. L'analogie avec BrowserGate est structurelle : scan silencieux, absence d'information, intérêt commercial détourné de la sécurité.
Ce que BrowserGate change pour vos équipes commerciales
Pour un directeur commercial B2B ou un dirigeant qui s'appuie sur LinkedIn pour générer du pipeline, BrowserGate n'est pas une actualité tech. C'est un signal de gouvernance.
Trois conséquences concrètes.
Première conséquence : si vos commerciaux utilisent Apollo, Lusha, Waalaxy ou Lemlist via une extension Chrome sur un poste qui se connecte à LinkedIn, leur stack est connue de la plateforme, nominativement, compte par compte. Un changement unilatéral des CGU peut bloquer ces comptes du jour au lendemain.
Deuxième conséquence : votre analyse concurrentielle fuit. Si votre équipe marketing teste un outil émergent avant de l'adopter, LinkedIn le sait avant votre RSSI.
Troisième conséquence : votre conformité RGPD est engagée. Une entreprise qui laisse ses salariés se connecter à LinkedIn sur un poste contenant des données clients confidentielles, et qui n'a pas documenté le risque lié à Spectroscopy, s'expose à une qualification de négligence au titre de l'article 32 du RGPD (sécurité du traitement).
Plan d'action : 7 mesures pour protéger votre activité B2B
Voici une feuille de route opérationnelle, classée par ordre de priorité, pour remettre de l'ordre dans votre usage de LinkedIn sans renoncer au canal.
| # | Mesure | Effort | Bénéfice |
|---|---|---|---|
| 1 | Audit chrome://extensions/ sur tous les postes commerciaux |
Faible | Inventaire exposé à LinkedIn |
| 2 | Compartimentation des navigateurs | Moyen | Isolation de la stack B2B |
| 3 | Firefox ou Safari pour LinkedIn | Faible | Neutralisation du scan Chromium |
| 4 | Droit d'accès RGPD (article 15) | Faible | Documentation de la collecte |
| 5 | Sensibilisation des équipes | Moyen | Réduction du risque humain |
| 6 | Versions web autonomes des outils | Moyen | Sortie des extensions Chrome |
| 7 | Documentation et signalement CNIL/DPC | Faible | Couverture juridique |
1. Auditer chrome://extensions/ sur tous les postes commerciaux
Faites dresser par la DSI la liste exhaustive des extensions installées sur chaque poste utilisateur de LinkedIn. Croisez cette liste avec l'inventaire Fairlinked publié sur browsergate.eu. Vous obtenez la cartographie de ce que LinkedIn sait déjà de votre organisation.
2. Compartimenter les navigateurs
Séparez l'usage LinkedIn de l'usage outils B2B tiers. Un navigateur dédié à LinkedIn, sans extension. Un autre pour Apollo, Waalaxy, HubSpot. Cette mesure simple neutralise 80 % du risque de cartographie croisée.
3. Basculer LinkedIn sur Firefox ou Safari
Spectroscopy repose sur le protocole chrome-extension://. Firefox et Safari utilisent des protocoles différents, et le script échoue à détecter les extensions. Pour un commercial, utiliser Firefox pour LinkedIn et Chrome pour le reste est la mesure la plus rapide à déployer.
4. Exercer le droit d'accès RGPD (article 15)
Chaque collaborateur peut demander à LinkedIn la copie intégrale des données collectées sur son compte, y compris les métadonnées techniques. Une demande collective coordonnée, envoyée par plusieurs salariés de la même entreprise, crée une pression documentaire mesurable.
5. Sensibiliser les équipes
Intégrez BrowserGate au module de sensibilisation RGPD de vos commerciaux. Un message simple : « Tout ce que vous installez sur le navigateur que vous utilisez pour LinkedIn, LinkedIn le sait ». Cette règle remplace utilement les longues notes de service.
6. Privilégier les versions web autonomes
Apollo, Lusha, HubSpot, Salesforce disposent tous de versions web hébergées qui fonctionnent sans extension. Basculez les usages critiques vers ces versions. L'extension reste utile pour les tâches secondaires, exécutées sur un navigateur séparé.
7. Documenter et signaler
Si vous êtes DPO ou RSSI, formalisez une note interne datée sur le risque Spectroscopy. En cas de contentieux RGPD, cette traçabilité démontre votre diligence. Un signalement à la CNIL (France) ou à la DPC (Irlande, autorité cheffe de file pour LinkedIn) est possible, individuellement ou via une association professionnelle.
BrowserGate dans l'écosystème LinkedIn 2026
BrowserGate n'est pas un incident isolé. C'est le troisième épisode en dix-huit mois d'une séquence qui redéfinit la relation entre LinkedIn et son écosystème commercial.
En octobre 2024, l'amende DPC de 310 millions d'euros pour publicité comportementale illégale.
En janvier 2026, le jugement Teamfluence à Munich qui reconnaît aux outils tiers un droit d'accès aux données publiques LinkedIn.
En avril 2026, BrowserGate, qui inverse le questionnement : ce n'est plus LinkedIn qui reproche aux outils tiers de scraper ses données, c'est LinkedIn qui est accusée de scraper les outils tiers directement dans le navigateur de ses utilisateurs.
Pour les entreprises B2B, le message est clair. La dépendance à une plateforme unique, si performante soit-elle, crée un risque de gouvernance proportionnel à la part du chiffre d'affaires qui en dépend. La diversification des canaux (newsletter, podcast, communauté propriétaire, événements) n'est plus une option marketing. C'est un dispositif de résilience.
FAQ
Qu'est-ce que BrowserGate exactement ?
BrowserGate est le nom donné à l'enquête publiée début avril 2026 par Fairlinked e.V., qui révèle que LinkedIn scanne silencieusement 6 222 extensions Chrome et collecte 48 caractéristiques matérielles de l'appareil de chaque visiteur via un script baptisé Spectroscopy, sans consentement ni mention dans sa politique de confidentialité.
Le scan fonctionne-t-il sur Firefox ou Safari ?
Non. Spectroscopy exploite le protocole chrome-extension:// propre aux navigateurs Chromium (Chrome, Edge, Brave, Opera). Firefox et Safari utilisent des architectures différentes. Basculer LinkedIn sur Firefox désactive de facto le scan d'extensions, sans couper l'accès aux fonctionnalités de la plateforme.
Quelles amendes LinkedIn risque-t-il ?
Plusieurs sanctions cumulatives sont possibles. Au titre du RGPD, jusqu'à 4 % du chiffre d'affaires mondial du groupe Microsoft. Au titre du Digital Markets Act, jusqu'à 10 % du chiffre d'affaires mondial, doublé en cas de récidive. Aux États-Unis, l'action collective déposée le 6 avril 2026 en Californie peut générer des dommages statutaires sous le Wiretap Act.
Mes commerciaux doivent-ils arrêter d'utiliser Apollo ou Waalaxy ?
Pas nécessairement. Le risque n'est pas l'outil, mais la cohabitation de l'extension et de LinkedIn sur le même navigateur. Deux parades : utiliser la version web hébergée de l'outil sans extension, ou dédier un navigateur distinct à LinkedIn. Les deux approches sont compatibles avec un usage professionnel quotidien.
Comment savoir ce que LinkedIn a collecté sur moi ?
Via l'article 15 du RGPD, vous pouvez demander à LinkedIn une copie de toutes les données traitées sur votre compte. La demande s'effectue dans les paramètres de confidentialité, rubrique « Obtenir une copie de vos données ». La plateforme dispose d'un mois pour répondre. Demandez explicitement les métadonnées techniques et les logs de télémétrie.
Que faire si je suis DPO ou RSSI ?
Trois actions immédiates. Documenter le risque Spectroscopy dans votre registre des traitements. Diffuser une note interne aux équipes commerciales et RH. Envisager un signalement à la CNIL ou à la DPC, seul ou en coordination avec une association professionnelle comme Fairlinked e.V., dont le dossier technique est public.
Sources
- Fairlinked e.V., dossier technique BrowserGate, browsergate.eu, avril 2026
- BleepingComputer, « LinkedIn secretly scans for 6,000+ Chrome extensions, collects data », 3 avril 2026
- The Next Web, « LinkedIn secretly scans 6,000+ browser extensions and fingerprints your device », 5 avril 2026
- Tom's Hardware, « LinkedIn is spying on you, according to a new BrowserGate security report », avril 2026
- Clubic, dossier BrowserGate, 7 avril 2026
- PPC Land, « LinkedIn hit with class action over hidden browser scan of 6,000 extensions », avril 2026
- CNIL, « Aspiration de données : sanction de 240 000 euros à l'encontre de la société Kaspr », délibération SAN-2024-020, 5 décembre 2024
- Data Protection Commission (Irlande), « Irish Data Protection Commission fines LinkedIn Ireland €310 million », 24 octobre 2024
- Commission européenne, Digital Markets Act, désignation Microsoft/LinkedIn gatekeeper
- Dreamdata, B2B Benchmarks Report, mars 2026
- Tribunal régional de Munich, affaire Teamfluence c/ LinkedIn, jugement de janvier 2026
All In — le média B2B qui décode LinkedIn.
Chaque semaine, nous décryptons pour vous les angles morts de la plateforme qui concentre 80 % de vos leads B2B : algorithmes, gouvernance, outils, signaux faibles. Pour aller plus loin, abonnez-vous à la newsletter All In et écoutez le podcast All In, où dirigeants, opérateurs et experts partagent ce qui fonctionne vraiment en B2B aujourd'hui.
