LinkedIn et le « BrowserGate » : quand Microsoft fouille dans vos extensions
LinkedIn ne se contente plus de vous suggérer des offres d'emploi ou de vous féliciter pour votre « anniversaire professionnel ». Selon deux nouvelles plaintes collectives déposées en Californie, le réseau social de Microsoft s'intéresserait d'un peu trop près à ce qui se passe dans votre navigateur. L'affaire, surnommée « BrowserGate », accuse la plateforme de scanner systématiquement les extensions installées par ses utilisateurs, souvent à leur insu et sans consentement réel.
Une surveillance à grande échelle ?
Tout a commencé avec un rapport de l'organisation Fairlinked, qui affirme que LinkedIn utilise un script JavaScript caché pour détecter la présence de 6 222 extensions de navigateur. Cela inclut des outils de productivité classiques, mais aussi des logiciels concurrents directs des produits de Microsoft, tels que Salesforce, HubSpot ou Pipedrive. L'idée derrière cette pratique serait de construire des profils technologiques d'entreprises en identifiant précisément quels outils leurs employés utilisent au quotidien.
Mais le problème dépasse le simple espionnage industriel. Le rapport souligne que LinkedIn pourrait détecter des extensions très spécifiques, comme des filtres de contenu religieux, des marqueurs politiques ou des outils destinés aux utilisateurs neurodivergents. En Europe, collecter ce genre d'informations sans un consentement explicite est un terrain miné au regard du RGPD, car cela revient à traiter des données sensibles sur la santé ou les opinions politiques de près d'un milliard d'utilisateurs.
La défense de Microsoft : la sécurité avant tout
De son côté, LinkedIn ne nie pas la pratique, mais conteste fermement les intentions malveillantes qu'on lui prête. Pour la filiale de Microsoft, ce scan est une mesure de défense nécessaire contre le scraping — la collecte automatisée et non autorisée de données d'utilisateurs. L'entreprise affirme que sa politique de confidentialité mentionne déjà l'utilisation de cookies et de technologies similaires pour collecter des informations sur le navigateur et les « modules complémentaires » (add-ons).
Cependant, les plaignants, représentés par Nicholas Farrell (Nicholas Farrell) et Jeff Ganan (Jeff Ganan), estiment que cette mention est bien trop vague pour constituer un consentement éclairé. Pour eux, un utilisateur raisonnable ne s'attend pas à ce que LinkedIn fouille dans ses outils personnels sous couvert de sécurité. Ils accusent la plateforme de transformer une justification anti-abus en une opération de surveillance globale qui dépasse largement le cadre de la nécessité technique.
Une bataille sur fond de vengeance commerciale ?
Il est intéressant de noter que l'origine de ces révélations est intimement liée à un conflit juridique précédent. Fairlinked semble être géré par les mêmes responsables que Teamfluence, une entreprise estonienne qui a déjà poursuivi LinkedIn à Munich en janvier dernier. LinkedIn avait suspendu les comptes de Teamfluence, les accusant de distribuer une extension destinée à aspirer les données des membres en violation des conditions d'utilisation.
Sarah Wright (Sarah Wright), vice-présidente chez LinkedIn, a d'ailleurs qualifié ces nouvelles accusations de « château de cartes construit sur des fabrications ». Selon elle, la justice allemande a déjà donné raison à LinkedIn, confirmant que Teamfluence violait les lois sur la protection des données. Reste à savoir si les tribunaux californiens seront aussi sensibles aux arguments de Microsoft ou s'ils imposeront plus de transparence sur ce que le réseau social va chercher dans les recoins de nos navigateurs.
Cette affaire rappelle à quel point la frontière entre sécurité informatique et intrusion dans la vie privée est ténue, surtout quand les géants du Web cherchent à protéger leurs données. Si vous vous intéressez aux mystères de l'anonymat et de la protection des données, vous pourriez être intrigué par les théories entourant l'identité de Satoshi Nakamoto, le créateur du Bitcoin.