Nolan Mariotte
BleepingComputer prétend avoir vérifié de manière indépendante que LinkedIn charge un script JavaScript dans les navigateurs Chromium. Grâce à ce script, il tente de détecter les extensions installées dans le navigateur en testant les ressources associées à des identifiants spécifiques. Cette méthode n'est pas nouvelle. Les pages Web peuvent détecter certaines extensions en accédant à “web_accessible_resources”, quelque chose de documenté à la fois par BrowserLeaks et par la documentation des extensions de l'écosystème Chromium.
BleepingComputer prétend avoir vu le script vérifier 6 236 extensions et collecter des données sur l'appareil. Plus précisément, il collectait des informations sur le matériel. Parmi les informations figurent le nombre de cœurs de processeur, la mémoire disponible, la résolution de l'écran, le fuseau horaire, la langue, la batterie, l'audio et le stockage.
LinkedIn ne dément pas le chargement de ce script, et indique qu'il lui permet de renforcer sa sécurité
Là où commence la controverse, c’est dans l’interprétation de l’utilité de cette collecte de données. Le rapport BrowserGate, publié par Fairlinked eV, affirme que LinkedIn non seulement détecte les extensions, mais que cela lui permettrait de savoir quels outils certaines personnes et entreprises utilisent, y compris des produits concurrents tels qu'Apollo, Lusha ou ZoomInfo, et même d'en déduire des catégories particulièrement sensibles. Le rapport lui-même utilise un ton très accusateur et parle d’« espionnage industriel » et de données potentiellement sensibles. Bien qu’il n’ait pas été possible de vérifier de manière indépendante où vont ces données.
LinkedIn a répondu à BleepingComputer en déclarant que oui, ils sont capables de détecter certaines extensions. Maintenant, ils défendent qu’ils le font pour localiser les modules complémentaires qui récupèrent, injectent du contenu ou violent leurs termes et conditions. Cela leur permet à la fois de renforcer leurs défenses et la stabilité de leur service. Il a également déclaré qu'il n'utilise pas ces données pour déduire des informations sensibles sur les membres. En outre, il a présenté le rapport dans le cadre d'un précédent litige avec un compte restreint au grattage et a évoqué un revers judiciaire préliminaire en Allemagne pour cette autre partie. Cela ne dissipe pas en soi les doutes en matière de confidentialité, mais cela nous oblige à lire l’affaire comme un mélange de véritable découverte technique et de conflit commercial/juridique entre LinkedIn et les acteurs de son écosystème.
Dans la politique de confidentialité, l'entreprise ne mentionne rien sur ce script qui collecte des informations
Autre nuance importante : l'affirmation de BrowserGate selon laquelle la politique de confidentialité ne le mentionne pas. La politique générale de LinkedIn indique qu'elle collecte des informations sur le réseau et les appareils. Cela inclut le navigateur et les modules complémentaires, et sa notification européenne traite de l'IP, de l'identifiant de l'appareil, de l'agent utilisateur, du navigateur, du système d'exploitation et d'autres identifiants en ligne obtenus via des cookies et des technologies similaires, notamment à des fins de sécurité, de fraude, d'analyse ou d'amélioration du service.
Ce qui n'est pas décrit avec cette précision, c'est une vérification massive et spécifique d'extensions spécifiques utilisant des ressources internes exposées. En d’autres termes : il existe une couverture générale des données du navigateur et des appareils, mais pas une explication transparente et granulaire du mécanisme exact découvert.
Sur le plan juridique, même s'il n'existe à ce jour aucune résolution publique déclarant illégal ce cas spécifique de LinkedIn, le cadre réglementaire européen et britannique indique que les choses peuvent être délicates. Le Comité européen de la protection des données indique clairement que la directive ePrivacy ne se limite pas aux cookies et couvre également des technologies similaires et les empreintes digitales. Le Bureau du commissaire à l'information britannique, pour sa part, inclut expressément les empreintes digitales, les scripts et les tags dans les technologies de « stockage et d'accès » qui, à quelques exceptions près, nécessitent un consentement ou une base très claire. Cela n'équivaut pas à une condamnation automatique de LinkedIn, mais cela signifie que la défense « il s'agit simplement d'une sécurité anti-scraping » devrait s'intégrer parfaitement dans une exception et un niveau élevé de transparence.
