À chaque fois que vous vous rendez sur le réseau professionnel LinkedIn, ce dernier injecte discrètement du code dans votre navigateur. Ce dernier permet de cartographier les extensions que vous utilisez et de générer une empreinte numérique de votre machine. Cette pratique, baptisée "BrowserGate" par des chercheurs, n'est mentionnée nulle part dans la politique de confidentialité de la plateforme.
Une enquête publiée en début de mois par Fairlinked e.V., une association européenne d'utilisateurs professionnels de LinkedIn, révèle que le réseau social charge un bloc de code JavaScript de 2,7 mégaoctets à chaque ouverture de sa page web. Celui-ci est exécuté en arrière-plan, sans notification, et surtout sans moyen de le bloquer.
"Spectroscopy" : le système qui fouille votre navigateur
LinkedIn a donné un nom à ce mécanisme interne : "Spectroscopy". Dans un navigateur basé sur Chromium (Chrome, Edge, Brave, Opera, Vivaldi...) le script envoie jusqu'à 6 222 requêtes simultanées dès le chargement du site. Chacune d'elle sonde la présence d'une extension spécifique en tentant d'accéder à un fichier qui lui est associé. Si le fichier répond, l'extension est considérée comme installée.
Mais ce n'est pas tout. En parallèle, le script collecte 48 caractéristiques techniques de votre machine : nombre de cœurs du processeur, mémoire disponible, résolution d'écran, fuseau horaire, langue du système, niveau de batterie ou capacité de stockage. Prises séparément, ces données restent banales. Réunies, elles forment une empreinte de l'appareil. Et celle-ci est suffisamment précise pour vous identifier même après la suppression de vos cookies.
L'ensemble est ensuite chiffré avec une clé RSA, référencée en interne sous le nom "apfcDfPK", puis transmis aux serveurs de LinkedIn. Cette empreinte est jointe à chaque requête effectuée pendant la session. Autrement dit, à chaque recherche, chaque profil consulté, chaque message envoyé. Le site BleepingComputer a confirmé indépendamment l'activité de ce mécanisme en avril 2026, par des tests réalisés de son côté.
Un système bien trop curieux
La liste des 6 222 extensions scrutées ne se limite pas à repérer des outils de scraping utilisés pour des campagnes de growth hacking et pouvant potentiellement enfreindre la politique d'utilisation de Linkedin. On y trouve également 200 solutions directement concurrentes de LinkedIn, dont Apollo, Lusha et ZoomInfo. Ces outils sont utilisés par les équipes commerciales pour constituer et enrichir des bases de contacts professionnels. Forcément, savoir quelles entreprises utilisent ces produits représente un avantage concurrentiel direct pour la plateforme, laquelle connaît par ailleurs l'employeur de chaque utilisateur inscrit.
Cette liste inclut aussi des extensions spécifiquement pensées pour des personnes atteintes de troubles cognitifs ou d'apprentissage, d'autres liées à des pratiques religieuses, à des engagements politiques, ou à une recherche active d'emploi. Ces catégories entrent dans la définition des données sensibles au sens du RGPD. D'emblée, LinkedIn peut donc savoir si telle ou telle personne recherche un emploi sans que celles-ci l'aient précisément indiquée sur leur profil.
De son côté, LinkedIn affirme que "Spectroscopy" est un dispositif de sécurité destiné à détecter les extensions qui scrapent des données sans le consentement des membres. La filiale de Microsoft assure ne pas utiliser ces données pour collecter des informations sur la vie privée des utilisateurs. La plateforme rappelle par ailleurs que Fairlinked e.V. est liée à Teamfluence, une startup dont elle a restreint l'extension pour violation de ses conditions d'utilisation. Au passage, la demande d'injonction de Teamfluence contre LinkedIn a été rejetée par un tribunal allemand en janvier 2026.
En octobre 2024, la Commission irlandaise de protection des données avait déjà infligé à LinkedIn une amende de 310 millions d'euros pour traitement de données personnelles sans base légale valable dans le cadre de sa publicité ciblée.
