LinkedIn accusé d’avoir effectué un balayage secret du navigateur, données de confidentialité de 400 millions d’utilisateurs craignant une fuite

L’organisation à but non lucratif Fairlinked a récemment publié un rapport d’enquête indiquant que la plateforme de communauté professionnelle LinkedIn détecte secrètement, via du code, les navigateurs des utilisateurs à l’aide d’extensions, impliquant la collecte de données provenant de plus de 6 000 extensions. Le rapport indique que cette pratique pourrait entraîner l’exposition d’informations sensibles concernant 405 millions d’utilisateurs dans le monde, telles que leurs tendances politiques, leur état de santé et leurs activités liées à la recherche d’emploi.

La détection du navigateur dépasse-t-elle la ligne rouge de la vie privée ?

Selon l’allégation de « BrowserGate » présentée par l’organisation d’enquête Fairlinked, LinkedIn déploie dans ses pages Web un code JavaScript spécifique qui, sans consentement explicite de l’utilisateur, scanne les extensions (Extensions) installées dans le navigateur de celui-ci. Cette liste de balayage couvre plus de 6 000 éléments, dont des extensions capables d’identifier des identités religieuses, des tendances politiques et des outils d’assistance liés à la neurodiversité (Neurodiversity). Le rapport souligne que, comme les comptes LinkedIn sont fortement corrélés au nom réel de l’utilisateur, à son poste et aux informations concernant son employeur, les données collectées peuvent être associées avec précision à des individus particuliers. En outre, la plateforme est également accusée de détecter plus de 200 outils de concurrents, notamment Salesforce, HubSpot et ZoomInfo, afin de comprendre les habitudes de dépendance des utilisateurs professionnels à l’égard des services, ce qui suscite des questions sur une concurrence déloyale sur le marché et des activités d’espionnage commercial.

Linkedin comment explique-t-il la détection ?

En réponse aux accusations ci-dessus, LinkedIn affirme fermement nier tout comportement inapproprié et précise que cette technologie de détection n’est utilisée que pour préserver l’intégrité de la plateforme. LinkedIn indique que certaines extensions de navigateur injectent des images ou du code dans les pages Web, ce qui peut mener à des comportements en violation des conditions d’utilisation, tels que l’extraction automatisée de données (Data Scraping), voire affecter la stabilité du fonctionnement du site. La plateforme souligne que la détection consiste à vérifier si des URLs de ressources statiques existent, dans le but d’identifier les extensions qui enfreignent les règles et d’améliorer la technologie, et non pas à déduire ou à collecter des informations personnelles sensibles des membres. LinkedIn indique que les comptes associés aux allégations ont été limités en raison d’une collecte massive de données ; les controverses correspondantes ont déjà été rejetées dans le cadre d’un procès en Allemagne, le tribunal estimant que les accusations ne reposaient pas sur des faits.

Partage de données tierces : unité de guerre sur Internet en Israël

Un autre point faisant l’objet d’une attention particulière dans le rapport est la destination des données collectées par LinkedIn. L’enquête indique que les données concernées sont partagées avec la société de cybersécurité HUMAN Security (anciennement White Ops). Cette société a fusionné en 2022 avec l’entreprise israélienne PerimeterX, dont l’équipe fondatrice comprend plusieurs anciens officiers ayant servi dans l’unité 8200 (Unit 8200) de la cyber-opérations des Forces de défense israéliennes (IDF).

Bien que HUMAN Security ait pour activité principale la détection des fraudes numériques et des accès non autorisés, son solide bagage de renseignement militaire et sa relation de partage de données font que la sécurité des données des utilisateurs et la question de la souveraineté sont à nouveau examinées de près, en particulier en cas de transferts transfrontaliers de données, afin de déterminer si cela respecte les normes de traitement des informations sensibles prévues par le règlement de l’UE sur la protection des données, le RGPD (« règlement général sur la protection des données »).

Divulgation des informations des utilisateurs : impacts potentiels sur le marché du travail

Parmi les plus de 6 000 extensions détectées, le rapport met tout particulièrement en avant 509 outils d’aide à la recherche d’emploi. Ces outils sont généralement utilisés par des professionnels cherchant des opportunités de reconversion ; si LinkedIn regroupe ces données et les associe à d’autres informations, cela pourrait révéler les intentions de changement d’emploi des utilisateurs sans que leur employeur actuel en soit informé. Bien que LinkedIn affirme ne pas utiliser ces données pour déduire des informations personnelles sensibles sur les membres, des groupes de défense de la vie privée estiment que ce modèle de « balayage en arrière-plan » constitue une surveillance excessive des comportements numériques des utilisateurs.

Dans le contexte actuel de hausse de la sensibilisation à la confidentialité numérique, les acteurs des plateformes qui traceraient la limite entre « prévention du captage malveillant » et « respect de l’espace de confidentialité des utilisateurs » feront face à des contrôles réglementaires plus stricts et à une surveillance de l’opinion publique.

Cet article « LinkedIn accusé de scanner secrètement le navigateur, les données de confidentialité de 400 millions d’utilisateurs pourraient fuiter » apparaît pour la première fois sur Chaîne News ABMedia.