1 points par GN⁺ 3 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Dans l’affaire visant Peter Stokes, 19 ans, accusé d’être lié à Scattered Spider, il est apparu que le FBI a relié un PC Windows et une activité en ligne grâce aux journaux du Global Device ID (GDID) de Microsoft
  • Le GDID est un identifiant persistant au niveau de l’appareil qui permet d’identifier une installation de Windows à travers les services et scénarios Microsoft, et peut s’appliquer aussi bien à un appareil physique qu’à une machine virtuelle
  • La plainte pénale inclut un enregistrement montrant qu’à 19:21 UTC le 12 mai 2025, le GDID associé à l’ordinateur de Stokes a accédé à la page d’inscription ngrok ainsi qu’à plusieurs sites sur des serveurs de Tzulo
  • Le GDID est conservé après une mise à jour de Windows, mais change après une réinstallation, et un utilisateur Microsoft peut avoir plusieurs GDID
  • Cette affaire a ravivé les inquiétudes sur la possibilité de suivre l’activité en ligne d’un PC Windows sans cookies tiers, et certains utilisateurs cherchent déjà comment vérifier ou supprimer leur GDID

Utilisation du GDID révélée par cette arrestation

  • Les États-Unis ont extradé depuis l’Europe Peter Stokes, 19 ans, soupçonné d’être membre du groupe de hackers Scattered Spider
  • Dans la plainte pénale rendue publique, les données de Microsoft ont servi d’élément clé pour relier Stokes aux actes de piratage présumés
  • Stokes est accusé d’avoir piraté en mai 2025 un détaillant de bijoux haut de gamme dont le nom n’a pas été révélé, et les dossiers indiquent qu’il utilisait alors un VPN
  • Le FBI a confirmé, à partir des données de Microsoft, que son adresse IP était liée à un identifiant d’appareil Microsoft appelé Global Device ID (GDID)

Ce que le GDID identifie

  • Selon l’explication de Microsoft citée dans la plainte, le GDID est défini comme un identifiant persistant au niveau de l’appareil dans l’écosystème Windows
  • Cet identifiant est conçu pour distinguer de manière unique une installation du système d’exploitation Windows
    • Il peut concerner un appareil physique comme un ordinateur portable ou un téléphone
    • Il inclut aussi les machines virtuelles
    • Il est utilisé à travers certains services et scénarios Microsoft
  • Le fait d’attribuer un identifiant unique à un compte ou à un appareil est courant, mais cette affaire montre que le GDID peut aussi être relié à des journaux d’accès à des services tiers, avec l’horodatage correspondant

Des journaux liés à une activité en ligne

  • Stokes est accusé d’avoir détourné l’outil de développement web ngrok pour contourner les défenses réseau du bijoutier
  • Les journaux Microsoft montrent qu’à 19:21 UTC le 12 mai 2025, le GDID associé à l’ordinateur de Stokes a accédé à https://dashboard[.]ngrok.com/signup
    • Cette URL correspond à la page de création de compte ngrok
    • Le même GDID est aussi enregistré comme ayant accédé à d’autres pages de ngrok
  • Le document indique également que ce GDID a accédé à « plusieurs sites » sur des serveurs de l’hébergeur web Tzulo afin d’aider à l’exécution du piratage
  • Le GDID du PC de Stokes indiqué dans la plainte est 6755467234350028

Possibilités de traçage et réaction des utilisateurs

  • Le fait que des enquêteurs fédéraux aient identifié un hacker présumé via un identifiant Microsoft a renforcé les inquiétudes sur un possible détournement à des fins de surveillance
  • L’expert en cybersécurité Matthew Hickey a affirmé sur X : « Microsoft Windows is surveillance software »
  • Le GDID n’est brièvement mentionné que sur une page d’assistance de Microsoft, sans explication publique plus détaillée de la part de l’entreprise
  • Certains utilisateurs ont commencé à chercher comment limiter ou supprimer cet identifiant GDID

Réinstallation et questions ouvertes pour les autres plateformes

  • Selon la plainte, le GDID est conservé après une mise à jour du système Windows sur le même appareil
  • Si Windows est réinstallé sur le même appareil ou sur un autre, un nouveau GDID unique est associé
  • Une note de bas de page de la plainte précise qu’un utilisateur Microsoft peut posséder plusieurs GDID
  • Le chercheur en cybersécurité Costin Raiu s’est demandé si d’autres entreprises technologiques disposaient de capacités de surveillance similaires en s’appuyant sur des identifiants uniques
    • Si cela se produit à la même échelle sur les appareils Apple
    • Si l’identifiant est lié au matériel indépendamment d’une réinstallation
    • Il a ajouté que, pour viser un anonymat complet, il pourrait être nécessaire d’utiliser Linux ou FreeBSD dans l’environnement de développement, en passant par un proxy, Tor ou un VPN

1 commentaires

 
GN⁺ 3 시간 전
Avis sur Hacker News
  • Le point intéressant n’est pas le simple fait qu’un identifiant d’appareil existe. Presque tous les systèmes d’exploitation modernes ont quelque chose de similaire La vraie question, c’est la frontière. Quels composants peuvent y accéder, et à quel moment un identifiant local devient un identifiant de suivi à distance Il y a une différence totale entre un machine-id stocké sur disque et le fait qu’un éditeur de système d’exploitation l’associe à l’activité réseau

    • C’est précisément ce qui manque le plus dans cet article. On ne sait pas exactement comment l’identifiant d’appareil de Microsoft a été relié à la session ngrok. En général, une session ngrok est lancée avec un CLI propriétaire À lire l’article, on ne peut pas distinguer si Microsoft a injecté l’identifiant d’appareil dans le trafic réseau d’une manière suspecte, ou si c’est le logiciel client ngrok, propriétaire, qui a récupéré l’identifiant d’appareil. Si c’est la seconde hypothèse, alors on peut faire exactement la même chose sur d’autres systèmes d’exploitation, comme avec le /etc/machine-id de Linux Comme ngrok utilise un modèle partiellement payant, il ne serait pas du tout surprenant que le client envoie l’ID de l’appareil pour repérer les utilisateurs qui essaient de contourner les limites gratuites
    • Systemd est inclus dans plusieurs grandes distributions Linux, et il y a par exemple le machine-id. Cette valeur peut être lue par n’importe qui sur cet appareil dans /etc/machine-id https://www.freedesktop.org/software/systemd/man/latest/mach...
    • Le NetworkID de Firefox dans about:networking#networkid est un exemple similaire. Cela a déjà fait polémique, et toutes les IA ont de mauvaises informations sur son origine et son usage
    • Ce point est flou, et c’est de loin l’aspect le plus intéressant. La question centrale est de savoir à quelle étape et à quel moment le GDID a été associé à l’outil ou à la requête web À ce stade, l’article donne l’impression que la « télémétrie » de Microsoft collecte tout, puis effectue une recherche massive sur certaines activités avant de ressortir le GDID pour le relier à l’utilisateur
  • Cela semble vouloir dire que Microsoft effectue une forme d’analyse de trafic sur le terminal, puis la relie au GDID. Ce serait probablement une partie de la protection en temps réel de Defender ou de MAPS Fait amusant, l’ancien nom de Microsoft Defender MAPS était SpyNet https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... Cela dit, l’identifiant GDID semble être de nature logicielle. Pour aller plus loin, ils pourraient aussi, comme certains jeux, le lier au numéro de série de la carte mère. On suivrait alors non plus une instance d’installation de Windows, mais tout le cycle de vie du matériel

    • L’idée même de SecureBoot et de la puce TPM est justement de fournir un GDID fondé sur une empreinte matérielle. Certains jeux suivent déjà les utilisateurs de cette façon au nom de l’« anti-triche », et Microsoft le fait depuis l’époque de Windows 7 Ce qui a changé, c’est que le TPM fournit désormais cette autorité matérielle
  • Il va sans doute bientôt sortir un outil Windows qui changera l’identifiant de ce suspect en « g:6755467234350028 ». Au passage, c’est un identifiant étrange. Je comprends les 16 chiffres, mais je m’attendais à de l’hexadécimal Je me demande aussi comment fonctionne ce passage : « Selon les registres de Microsoft, le 12 mai 2025 à 19:21 UTC, le GDID associé à l’ordinateur de Stokes a accédé à 'https://dashboard[.]ngrok.com/signup' parmi plusieurs pages ngrok » Si c’est le navigateur qui envoie cette information à Microsoft, est-ce que personne n’aurait remarqué que le PC contacte Microsoft pour chaque page web ouverte ? Ou bien les données sont-elles mises en cache puis envoyées plus tard ? Si c’est le cas, est-ce que cela n’affecte alors « de façon limitée » que les utilisateurs du navigateur de Microsoft ? Ou bien Chrome envoie-t-il aussi le même type de données à Google ? L’autre possibilité est que cela se passe à un niveau plus bas, et je vois où un composant système pourrait accéder aux noms de domaine, mais je ne vois pas bien où il pourrait voir l’URL complète

    • C’est entièrement une construction parallèle https://en.wikipedia.org/wiki/Parallel_construction
    • C’était probablement Microsoft Defender SmartScreen dans Edge. Le domaine visité est soumis à Microsoft pour vérifier s’il correspond à un site malveillant connu ou à du phishing Et comme on l’apprend ici, cette information est liée au GDID et au compte Microsoft, puis accessible sur demande des forces de l’ordre
    • C’est la représentation décimale d’un entier 64 bits
    • Cette URL montre 16 requêtes bloquées et semble essayer de charger au moins datadog et googletagmanager. Je suppose que la police a contacté toutes les sociétés d’analytics auxquelles Ngrok a envoyé des données, directement ou indirectement, et que ces sociétés ont conservé tout ce qu’elles avaient Le plus surprenant, c’est que cette personne a fait tout cela depuis une installation Windows. Mais on n’entend parler que des criminels idiots qui se font attraper, donc au final ce n’est pas si incohérent
    • Même avec un navigateur autre qu’Edge, le système d’exploitation peut obtenir le nom de domaine d’une connexion HTTPS, et il peut aussi connaître le titre de la page défini comme titre de fenêtre Dans bien des cas, cela semble suffisant pour identifier l’URL. Par exemple, l’URL d’inscription définit le titre sur « ngrok Sign Up »
  • Cela montre assez clairement que Microsoft ne se soucie pas de la vie privée, quoi qu’il affirme dans le titre de l’écran de consentement aux cookies Il ne s’en soucie absolument pas, et il faut dire la même chose de tous les grands fournisseurs de la Big Tech. Même si cela paraît banal, il est temps de dire ce qui doit être dit. Ils ne se soucient pas de votre vie privée, de votre indépendance ni de votre bien-être. Vraiment pas

  • Cet enfant utilisait son ordinateur depuis chez lui, ils l’ont retrouvé via l’adresse IP, et cette adresse IP envoyait aussi des requêtes Windows Updates. C’est ainsi qu’ils ont restreint le Device ID, puis cet identifiant d’appareil a mené à cet enfant C’est exactement le genre de chose contre lequel les défenseurs de la vie privée mettent en garde depuis longtemps. Ce type de capacité efface pratiquement toute affirmation en matière de vie privée Plus encore, des entreprises comme Google s’en sont servies pour faire disparaître toute attente même de vie privée

  • Le texte est ambigu. Rien ne prouve que Microsoft puisse voir quelles pages web un utilisateur visite dans Chrome ou Firefox

    • Il y a ce passage dans la réponse ci-dessus
      1. Microsoft records also indicate: a little more than three hours after the ngrok account was created, the user visited “[Company F].com” from the .168 proxy server.
    • C’est pareil avec Edge si les options ci-dessous sont désactivées

      Send optional diagnostic data to improve Microsoft products [Includes how you use the browser, websites you visit, and enhanced error reporting. Determined by your Windows diagnostic data setting] Allow Microsoft to save your browsing activity including history, usage, favourites, web content, and other browsing data to personalise and improve Microsoft Edge and Microsoft services like ads, search, shopping, news, and Copilot [Includes your history, usage, favourites, web content and other browsing data]

  • Est-ce que ça ne viole pas le droit européen sur la protection des données personnelles ?

    • Probablement que oui. Cela dit, si quelqu’un a piraté un site web pour faire expédier des bijoux coûteux à son adresse personnelle, ça n’a peut-être pas beaucoup d’importance
    • Et si c’est une violation, qu’est-ce que ça change ? Ils continueront sans doute à se comporter comme des salauds et prendront une amende équivalente à 6 heures de chiffre d’affaires
    • Le RGPD ne traite que des données personnellement identifiables, et ici il s’agit d’un ID généré aléatoirement qui change à chaque installation du système d’exploitation Combiné à d’autres informations, il peut servir à suivre un utilisateur, mais à lui seul il ne suffit pas à désanonymiser quelqu’un
  • Ça peut sembler complètement fou, mais je suis convaincu qu’il existe d’une manière ou d’une autre un lien entre ce type de télémétrie et la poussée massive et organisée de la publicité pour les VPN ces dernières années De plus en plus, la « main invisible du marché » ressemble littéralement à la main de quelques gigantesques groupes disposant du pouvoir et du capital. Ils façonnent la structure économique de l’ensemble du marché au point de le contrôler de fait, et créent un biais qui pousse les entreprises à optimiser leurs pertes Les VPN sont peut-être soit des spyware qui renforcent directement les capacités de suivi, soit des services proposés pour continuer à pister les utilisateurs tout en gagnant de l’argent sur leur peur, puisqu’on peut désormais les suivre même sans IP Plus largement, on a l’impression qu’il ne reste plus grand-chose du libre marché ni de la démocratie. Tous les gouvernements semblent désormais eux aussi pousser de manière organisée à la disparition de la vie privée

  • L’industrie tech américaine est en train de devenir rapidement comme la Russie et la Chine

    • Tu as déjà entendu parler du site web facebook ?
    • Je ne sais pas pourquoi, quand des Américains font quelque chose, il faut toujours qu’on parle de la Russie et de la Chine Cela dit, c’est peut-être juste que je ne sais pas faire de promotion. Si on qualifiait ce genre de comportement de « comportement à la chinoise », ça passerait peut-être mieux auprès de certains groupes qui soutiendraient normalement ce type d’agissements au nom de la protection contre la « Black Crime »
  • Voici un fil connexe où les développeurs de Massgrave.dev expliquent une partie du mécanisme GDID https://x.com/massgravel/status/2074304593303892354

    • Lien de secours pour ceux qui ne veulent pas créer de compte Twitter https://xcancel.com/massgravel/status/2074304593303892354 Sur mon ordinateur / à mon emplacement actuel, le site semble ne pas apprécier ses mesures anti-bot, mais j’espère que ça fonctionnera bien pour les autres