Comment LinkedIn détecte les extensions installées sur votre navigateur
Une découverte de Dan Andrews, développeur web chez Techstars
Le 2019-01-10 10:37:38, par Jonathan, Chroniqueur Actualités
LinkedIn est une entreprise de service axée sur l'emploi qui fonctionne via des sites web et des applications mobiles. Fondée en décembre 2002 et lancée le 5 mai 2003, elle est principalement utilisée pour le réseautage professionnel, notamment pour les employeurs qui postent des emplois et les demandeurs d’emploi qui affichent leur CV. En octobre 2018, LinkedIn comptait 590 millions de membres inscrits dans 200 pays, dont plus de 250 millions d'utilisateurs actifs.
Les entreprises gérant d'aussi grandes quantités d'informations d'utilisateurs sont la plupart du temps impliquées dans de gros scandales et LinkedIn n'échappe pas à cette règle. En novembre de l'année dernière, LinkedIn s'est servi de 18 millions d'adresses mail de non-membres à des fins de publicités ciblées sur Facebook et ceci ne serait pas la dernière infraction commise par l'entreprise, car il semblerait d'après Dan Andrews que LinkedIn viole la vie privée de ses utilisateurs dans le but de détecter l'utilisation des extensions de navigateur.
Dan Andrews est développeur web chez Techstars et il a mis au point une extension de navigateur nommée Nefarious LinkedIn qui répertorie les extensions de votre navigateur actuellement en train d'être scannées par LinkedIn. Andrews explique qu'il existe 2 méthodes courantes pour détecter l’utilisation d’une extension de navigateur. La première méthode consiste à analyser les ressources publiques disponibles dans l'extension et la deuxième, à analyser la page web cible pour détecter tout comportement anormal. D'après lui, LinkedIn se servirait des 2 méthodes à la fois.
En utilisant la première de ces méthodes, Andrews fait savoir que la navigation sur LinkedIn avec la console de développeur ouverte, permet de remarquer quelques fois une série d’erreurs de requête réseau. En examinant ces demandes, il a constaté qu'il ne s'agit pas de demandes externes, mais bien de demandes adressées à des fichiers locaux. Ces fichiers locaux commencent par chrome-extension:// ce qui indique que la page web envoie des demandes aux fichiers situés dans votre propre navigateur. Dans ce cas, la présence d'un message d'erreur indique que la ressource n'était pas disponible et que l'extension recherchée n'est donc pas installée sur votre navigateur, mais si la demande aboutissait, LinkedIn saurait alors que l'extension est installée.
La deuxième méthode pour détecter l'utilisation d'une extension consiste à examiner la page web elle-même et à identifier les effets secondaires d'une extension. LinkedIn utilise activement les sélecteurs CSS pour localiser les éléments d'identification de la page. Andrews affirme que LinkedIn utilise la mémoire de stockage locale de votre navigateur pour stocker un fichier JSON contenant une liste d'extensions à détecter. Ce fichier dont le contenu est codé en base 64, est situé dans la mémoire de stockage locale de votre navigateur sous la clé C_C_M. Chaque extension contient une ou plusieurs ressources publiques à rechercher ainsi qu'un ou plusieurs sélecteurs CSS à utiliser pour tenter de détecter l'extension.
Andrews dit avoir remarqué que le nombre d'extensions que LinkedIn recherche est passé de 28 à 38 et il a proposé quelques conseils aux développeurs d'extensions qui leur permettraient d'être à l'abri du regard indiscret de LinkedIn comme :
Source : github
Et vous ?
Voir aussi :
Les entreprises gérant d'aussi grandes quantités d'informations d'utilisateurs sont la plupart du temps impliquées dans de gros scandales et LinkedIn n'échappe pas à cette règle. En novembre de l'année dernière, LinkedIn s'est servi de 18 millions d'adresses mail de non-membres à des fins de publicités ciblées sur Facebook et ceci ne serait pas la dernière infraction commise par l'entreprise, car il semblerait d'après Dan Andrews que LinkedIn viole la vie privée de ses utilisateurs dans le but de détecter l'utilisation des extensions de navigateur.
Dan Andrews est développeur web chez Techstars et il a mis au point une extension de navigateur nommée Nefarious LinkedIn qui répertorie les extensions de votre navigateur actuellement en train d'être scannées par LinkedIn. Andrews explique qu'il existe 2 méthodes courantes pour détecter l’utilisation d’une extension de navigateur. La première méthode consiste à analyser les ressources publiques disponibles dans l'extension et la deuxième, à analyser la page web cible pour détecter tout comportement anormal. D'après lui, LinkedIn se servirait des 2 méthodes à la fois.
En utilisant la première de ces méthodes, Andrews fait savoir que la navigation sur LinkedIn avec la console de développeur ouverte, permet de remarquer quelques fois une série d’erreurs de requête réseau. En examinant ces demandes, il a constaté qu'il ne s'agit pas de demandes externes, mais bien de demandes adressées à des fichiers locaux. Ces fichiers locaux commencent par chrome-extension:// ce qui indique que la page web envoie des demandes aux fichiers situés dans votre propre navigateur. Dans ce cas, la présence d'un message d'erreur indique que la ressource n'était pas disponible et que l'extension recherchée n'est donc pas installée sur votre navigateur, mais si la demande aboutissait, LinkedIn saurait alors que l'extension est installée.
La deuxième méthode pour détecter l'utilisation d'une extension consiste à examiner la page web elle-même et à identifier les effets secondaires d'une extension. LinkedIn utilise activement les sélecteurs CSS pour localiser les éléments d'identification de la page. Andrews affirme que LinkedIn utilise la mémoire de stockage locale de votre navigateur pour stocker un fichier JSON contenant une liste d'extensions à détecter. Ce fichier dont le contenu est codé en base 64, est situé dans la mémoire de stockage locale de votre navigateur sous la clé C_C_M. Chaque extension contient une ou plusieurs ressources publiques à rechercher ainsi qu'un ou plusieurs sélecteurs CSS à utiliser pour tenter de détecter l'extension.
Andrews dit avoir remarqué que le nombre d'extensions que LinkedIn recherche est passé de 28 à 38 et il a proposé quelques conseils aux développeurs d'extensions qui leur permettraient d'être à l'abri du regard indiscret de LinkedIn comme :
- ne pas utiliser de ressources accessibles sur le web ;
- limiter l'activité de script de contenu aux lectures simples ;
- ne pas afficher votre extension à l'aide d'un script de contenu, essayez une action du navigateur.
Source : github
Et vous ?
Voir aussi :
-
michel.bosseauxMembre confirméSinon d'habitude je m'efforce de ne pas jouer les profs de français, mais sérieusement, "Comment que"', c'est un peu abusé quand mêmele 10/01/2019 à 12:57
-
DoksuriExpert confirméil peuvent cibler les gens qui ont telle ou telle extension d'installee (pour les emailing)
ou revrendre aux publicitaires les profil des gens avec la liste de leurs extensionle 11/01/2019 à 16:14 -
Max LothaireMembre confirméÀ ajouter dan /etc/hosts du coup :
Code : 1
2127.0.0.1 linkedin.com www.linkedin.com
le 10/01/2019 à 12:24 -
CoderInTheDarkMembre émériteLinkedin me gonfle, mon compte est configuré en croéen et je n'arrive pas à les contacter.
Ma page et mes mails sont en corréens
Il n'y a pas de faq mon compte est en coréen
Ils ne peuvent pas détecter que jee suis en Français avec un os Francaisle 13/01/2019 à 18:46 -
Rien de nouveau en somme, les anti-adblock fonctionnent de la même manière.LinkedIn utilise activement les sélecteurs CSS pour localiser les éléments d'identification de la pagele 10/01/2019 à 12:25
-
Thomasa21Inactifle 11/01/2019 à 3:13
-
DoksuriExpert confirméquand j'ai du faire des detections adblock, j'utilisais ces techniques (plus d'autres) je ne pensais pas que c'etait utilise par d'autres \o/
j'utilisais les fichiers locaux pour eviter des faux-positifsle 11/01/2019 à 9:12 -
AiekickMembre extrêmement actifok, mais c'est quoi le problème a ce que linkedin connaissent nos extensions, c'est quoi l’intérêt pour eux et le danger pour nous ?le 11/01/2019 à 15:13