LinkedIn scanne vos extensions Chrome à votre insu

Imaginez un visiteur qui sonne à votre porte, entre dans vos locaux, et pendant que vous lui parlez, il regarde discrètement quels outils sont posés sur les bureaux de vos salariés. C'est, en substance, ce que fait LinkedIn lorsque vos collaborateurs se connectent à la plateforme depuis leurs postes professionnels. Des chercheurs en sécurité ont découvert que LinkedIn scanne activement les extensions Chrome installées sur le navigateur de ses visiteurs — sans les en informer clairement. Pour un dirigeant de PME, ce comportement n'est pas anecdotique : il touche directement à la confidentialité de vos outils, de vos pratiques internes, et potentiellement de vos données d'entreprise.

Ce que LinkedIn fait vraiment quand vos employés s'y connectent

Lorsqu'un de vos collaborateurs ouvre LinkedIn dans Google Chrome, la plateforme exécute du code en arrière-plan pour détecter quelles extensions sont présentes dans le navigateur. Une extension, c'est un petit programme ajouté à Chrome pour lui ajouter des fonctions : un gestionnaire de mots de passe, un outil de capture d'écran, un bloqueur de publicités, ou encore un outil de gestion de projets. En identifiant ces extensions, LinkedIn peut déduire quels logiciels votre entreprise utilise, quelles sont vos habitudes de travail, et parfois même quel type d'activité vous exercez. Ce n'est pas une intrusion au sens pénal du terme, mais c'est une collecte de données qui se fait à l'insu des utilisateurs, sans consentement explicite. Et dans le contexte du RGPD, cela pose déjà des questions sérieuses.

Pourquoi c'est un problème concret pour votre PME

Vous pensez peut-être que la liste des extensions de vos salariés n'a aucune valeur. Détrompez-vous. Ces informations permettent de cartographier votre environnement numérique interne : si vos équipes utilisent une extension spécifique à un logiciel de comptabilité, un outil de cybersécurité particulier ou un CRM peu répandu, cela donne à des tiers des indices précieux sur vos failles potentielles et vos points d'entrée numériques. Dans le domaine de la sécurité PME 2026, on parle de « surface d'attaque » — c'est-à-dire tout ce qu'un acteur malveillant peut apprendre sur vous avant même de tenter quoi que ce soit. LinkedIn, en agissant ainsi, enrichit involontairement cette cartographie. Et si LinkedIn le fait, d'autres plateformes aussi. Ce cas est simplement celui qui a été documenté publiquement. La confidentialité du navigateur en entreprise est donc un enjeu réel, pas une préoccupation réservée aux grandes sociétés.

Le vrai risque : le mélange usage pro et usage perso

Le problème s'aggrave lorsque vos collaborateurs utilisent le même navigateur — et donc le même profil Chrome — pour leurs usages personnels et professionnels. Dans ce cas, les extensions scannées par LinkedIn peuvent mélanger des outils personnels et des outils d'entreprise, rendant la frontière encore plus floue. Certaines extensions, notamment celles moins connues ou téléchargées depuis des sources non officielles, peuvent elles-mêmes représenter un risque : elles ont accès au contenu des pages visitées, aux formulaires remplis, voire aux mots de passe saisis. Un salarié qui installe une extension douteuse sur un navigateur qu'il utilise aussi pour accéder aux outils internes de l'entreprise crée une vulnérabilité réelle. La bonne hygiène numérique en entreprise commence donc par une séparation claire des usages.

Ce que vous pouvez faire dès maintenant

1. Séparez les profils de navigation : demandez à vos collaborateurs de créer un profil Chrome dédié à leur usage professionnel, distinct de leur profil personnel. C'est gratuit, simple à faire, et cela limite immédiatement la surface d'exposition. 2. Établissez une liste d'extensions autorisées : recensez les extensions réellement utiles au travail et communiquez une liste validée à vos équipes. Toute extension non approuvée devrait être évitée sur les postes professionnels. 3. Sensibilisez vos équipes en cinq minutes : expliquez à vos collaborateurs que leurs extensions professionnelles sont visibles par les sites qu'ils visitent. Pas besoin d'un long discours — un message court et concret suffit. 4. Envisagez un navigateur dédié aux usages sensibles : pour les accès à vos outils internes, à votre comptabilité ou à vos données clients, orientez vos équipes vers un navigateur configuré sans extensions superflues, voire vers Firefox avec une politique de sécurité renforcée. 5. Faites un audit rapide de vos postes : demandez à votre prestataire informatique (ou à un consultant en sécurité PME) de lister les extensions installées sur les postes de vos salariés. Cela prend peu de temps et peut révéler des surprises utiles à corriger.