BrowserGate : Une collecte de pétaoctets de données Linkedin interroge

Grâce à plus d'un milliard d'utilisateurs professionnels inscrits sur Linkedin, la filiale de Microsoft a accès à un tas d'informations personnelles identifiables, y compris des données permettant de déterminer les positions religieuses et politiques. Ce qui est moins clair, c'est ce que ce réseau social fait de toutes ces données. Une petite entreprise européenne commercialisant une extension de navigateur servant à exploiter différents aspects des données de Linkedin mène une campagne, baptisée BrowserGate, l'accusant de « fouiller illégalement l’ordinateur des utilisateurs » et de « mener l'une des plus grandes opérations d'espionnage industriel de l'histoire moderne ». « Chaque fois que l’un des utilisateurs de Linkedin se rend sur ce site, un code caché fouille son ordinateur à la recherche de logiciels installés, collecte les résultats et les transmet aux serveurs de Linkedin ainsi qu’à des sociétés tierces, notamment une entreprise de cybersécurité américano-israélienne », affirme l’entreprise. « L'utilisateur n'est jamais consulté. Il n'en est jamais informé. La politique de confidentialité du fournisseur n'en fait pas mention », selon le site BrowserGate. « Comme Linkedin connaît le nom réel, l'employeur et le poste de chaque utilisateur, il ne recherche pas des visiteurs anonymes. Il recherche des personnes identifiées dans des entreprises identifiées. »

De son côté Linkedin réfute certaines de ces accusations et évite d'aborder les autres. « Cette accusation est entièrement bâtie sur des mensonges », indique un communiqué de Linkedin envoyé par courriel à CSO. « Nous indiquons bien dans notre politique de confidentialité que nous recherchons les extensions de navigateur, afin de détecter les abus et d’assurer la stabilité du site. » Lorsque l'on a demandé au réseau social si ces données étaient utilisées uniquement à ces fins, Linkedin n’a pas répondu.

Un risque d’utilisation abusive propre à toutes les grandes entreprises

La personne à l’origine de ces allégations se présente sous le nom de Steven Morrell (ce n’est pas son nom officiel, qu’il a demandé à CSO de ne pas publier). L’entreprise qu’il représente porte également différents noms, notamment Teamfluence et Fairlinked. M. Morrell a déclaré que Linkedin recueillait des données contenant des informations sensibles, en particulier des informations qui, selon lui, pourraient être utilisées pour déterminer les orientations religieuses et politiques. « La collecte de telles données pourrait enfreindre les règles européennes en matière de protection de la vie privée », a-t-il ajouté. Mais M. Morrell ne dit pas que Linkedin utilise effectivement ces données pour déterminer ces préférences, mais simplement qu’il le pourrait. On pourrait en dire autant de presque toutes les grandes entreprises. M. Morrell n’est toutefois pas tout à fait impartial. Lui-même et Linkedin sont aussi impliqués dans un litige en Allemagne, dans lequel M. Morrell a affirmé que ce groupe avait enfreint les règles de l’UE et l’avait injustement exclu, ainsi que d’autres personnes, de la plateforme. Linkedin a rétorqué que M. Morell et les autres plaignants avaient enfreint ses conditions d'utilisation avec leurs extensions. Le mois dernier, un juge de Munich a donné raison à Linkedin, rejetant la demande d'injonction provisoire.

Selon Safayat Moahamad, directrice de recherche chez Info-Tech Research Group, les approches en matière de conformité au sein de l'Union européenne et au Royaume-Uni pourraient effectivement poser certains problèmes face à un niveau de collecte de données aussi poussé. « Les tribunaux européens se prononcent en faveur des plateformes qui restreignent la collecte automatisée de données, lorsqu’elles peuvent établir un lien plausible entre les mesures d’application des politiques au niveau de l’organisation et la protection des consommateurs ainsi que la conformité réglementaire », a-t-elle souligné.

Des conseils à suivre

Brian Levine, le consultant en cybersécurité et directeur exécutif de FormerGov, recommande aux DSI de s’appuyer sur ces allégations, même si elles s’avèrent fausses, pour ajuster leur stratégie en matière de données et leurs politiques de confidentialité en 2026. « En supposant que les allégations relatives au BrowserGate soient vraies, les utilisateurs de Linkedin devraient envisager de réduire la quantité de données identifiables, traçables ou sensibles que leur navigateur expose, et les entreprises devraient traiter ce site comme un environnement web potentiellement hostile jusqu’à ce que les faits soient vérifiés », a suggéré M. Levine. « Même si BrowserGate est exagéré, l'empreinte digitale du navigateur est une pratique réelle et répandue sur le Web. Il faut traiter LinkedIn comme n'importe quel autre collecteur de données tiers. Linkedin a toujours été considéré comme sûr, mais il faudra peut-être revoir cette hypothèse. »

M. Levine invite les responsables IT à partir du principe que « Linkedin est capable de cartographier leur infrastructure technologique » et que, si ces affirmations s’avèrent exactes, il pourrait déduire « quels outils SaaS leurs employés utilisent, sur quels concurrents ils comptent, quels outils de recherche d’emploi leur personnel utilise et quelles tendances politiques ou religieuses se manifestent au sein de leur personnel ». Il ajoute que les services IT devraient envisager de bloquer Linkedin sur les réseaux sensibles, ou d'exiger qu'il ne soit accessible que via une infrastructure VDI, ainsi que de recourir à des techniques d'isolation du navigateur. « Certaines entreprises pourraient même vouloir utiliser un navigateur isolé distinct uniquement pour Linkedin, ou utiliser une session de navigateur en mode sandbox, comme Browserling ou d'autres navigateurs isolés dans le cloud », a-t-il ajouté.