Les entreprises gérant d'aussi grandes quantités d'informations d'utilisateurs sont la plupart du temps impliquées dans de gros scandales et LinkedIn n'échappe pas à cette règle. En novembre de l'année dernière, LinkedIn s'est servi de 18 millions d'adresses mail de non-membres à des fins de publicités ciblées sur Facebook et ceci ne serait pas la dernière infraction commise par l'entreprise, car il semblerait d'après Dan Andrews que LinkedIn viole la vie privée de ses utilisateurs dans le but de détecter l'utilisation des extensions de navigateur.
Dan Andrews est développeur web chez Techstars et il a mis au point une extension de navigateur nommée Nefarious LinkedIn qui répertorie les extensions de votre navigateur actuellement en train d'être scannées par LinkedIn. Andrews explique qu'il existe 2 méthodes courantes pour détecter l’utilisation d’une extension de navigateur. La première méthode consiste à analyser les ressources publiques disponibles dans l'extension et la deuxième, à analyser la page web cible pour détecter tout comportement anormal. D'après lui, LinkedIn se servirait des 2 méthodes à la fois.
En utilisant la première de ces méthodes, Andrews fait savoir que la navigation sur LinkedIn avec la console de développeur ouverte, permet de remarquer quelques fois une série d’erreurs de requête réseau. En examinant ces demandes, il a constaté qu'il ne s'agit pas de demandes externes, mais bien de demandes adressées à des fichiers locaux. Ces fichiers locaux commencent par chrome-extension:// ce qui indique que la page web envoie des demandes aux fichiers situés dans votre propre navigateur. Dans ce cas, la présence d'un message d'erreur indique que la ressource n'était pas disponible et que l'extension recherchée n'est donc pas installée sur votre navigateur, mais si la demande aboutissait, LinkedIn saurait alors que l'extension est installée.
La deuxième méthode pour détecter l'utilisation d'une extension consiste à examiner la page web elle-même et à identifier les effets secondaires d'une extension. LinkedIn utilise activement les sélecteurs CSS pour localiser les éléments d'identification de la page. Andrews affirme que LinkedIn utilise la mémoire de stockage locale de votre navigateur pour stocker un fichier JSON contenant une liste d'extensions à détecter. Ce fichier dont le contenu est codé en base 64, est situé dans la mémoire de stockage locale de votre navigateur sous la clé C_C_M. Chaque extension contient une ou plusieurs ressources publiques à rechercher ainsi qu'un ou plusieurs sélecteurs CSS à utiliser pour tenter de détecter l'extension.
Andrews dit avoir remarqué que le nombre d'extensions que LinkedIn recherche est passé de 28 à 38 et il a proposé quelques conseils aux développeurs d'extensions qui leur permettraient d'être à l'abri du regard indiscret de LinkedIn comme :
- ne pas utiliser de ressources accessibles sur le web ;
- limiter l'activité de script de contenu aux lectures simples ;
- ne pas afficher votre extension à l'aide d'un script de contenu, essayez une action du navigateur.
Source : github
Et vous ?
Vous étiez-vous déjà rendu compte de cela ?
Voir aussi :
LinkedIn s'est servi de 18 millions d'adresses mail de non-membres à des fins de publicités ciblées sur Facebook
USA : LinkedIn n'a pas le droit d'empêcher des tiers d'exploiter les données des profils publics de ses utilisateurs d'après une décision de justice
Microsoft va racheter LinkedIn pour 26,2 milliards de dollars, mais pourquoi la firme de Redmond s'intéresse-t-elle au réseau professionnel ?