- Dans l’affaire visant Peter Stokes, 19 ans, accusé d’être lié à Scattered Spider, il est apparu que le FBI a relié un PC Windows et une activité en ligne grâce aux journaux du Global Device ID (GDID) de Microsoft
- Le GDID est un identifiant persistant au niveau de l’appareil qui permet d’identifier une installation de Windows à travers les services et scénarios Microsoft, et peut s’appliquer aussi bien à un appareil physique qu’à une machine virtuelle
- La plainte pénale inclut un enregistrement montrant qu’à 19:21 UTC le 12 mai 2025, le GDID associé à l’ordinateur de Stokes a accédé à la page d’inscription ngrok ainsi qu’à plusieurs sites sur des serveurs de Tzulo
- Le GDID est conservé après une mise à jour de Windows, mais change après une réinstallation, et un utilisateur Microsoft peut avoir plusieurs GDID
- Cette affaire a ravivé les inquiétudes sur la possibilité de suivre l’activité en ligne d’un PC Windows sans cookies tiers, et certains utilisateurs cherchent déjà comment vérifier ou supprimer leur GDID
Utilisation du GDID révélée par cette arrestation
- Les États-Unis ont extradé depuis l’Europe Peter Stokes, 19 ans, soupçonné d’être membre du groupe de hackers Scattered Spider
- Dans la plainte pénale rendue publique, les données de Microsoft ont servi d’élément clé pour relier Stokes aux actes de piratage présumés
- Stokes est accusé d’avoir piraté en mai 2025 un détaillant de bijoux haut de gamme dont le nom n’a pas été révélé, et les dossiers indiquent qu’il utilisait alors un VPN
- Le FBI a confirmé, à partir des données de Microsoft, que son adresse IP était liée à un identifiant d’appareil Microsoft appelé Global Device ID (GDID)
Ce que le GDID identifie
- Selon l’explication de Microsoft citée dans la plainte, le GDID est défini comme un identifiant persistant au niveau de l’appareil dans l’écosystème Windows
- Cet identifiant est conçu pour distinguer de manière unique une installation du système d’exploitation Windows
- Il peut concerner un appareil physique comme un ordinateur portable ou un téléphone
- Il inclut aussi les machines virtuelles
- Il est utilisé à travers certains services et scénarios Microsoft
- Le fait d’attribuer un identifiant unique à un compte ou à un appareil est courant, mais cette affaire montre que le GDID peut aussi être relié à des journaux d’accès à des services tiers, avec l’horodatage correspondant
Des journaux liés à une activité en ligne
- Stokes est accusé d’avoir détourné l’outil de développement web ngrok pour contourner les défenses réseau du bijoutier
- Les journaux Microsoft montrent qu’à 19:21 UTC le 12 mai 2025, le GDID associé à l’ordinateur de Stokes a accédé à
https://dashboard[.]ngrok.com/signup- Cette URL correspond à la page de création de compte ngrok
- Le même GDID est aussi enregistré comme ayant accédé à d’autres pages de ngrok
- Le document indique également que ce GDID a accédé à « plusieurs sites » sur des serveurs de l’hébergeur web Tzulo afin d’aider à l’exécution du piratage
- Le GDID du PC de Stokes indiqué dans la plainte est 6755467234350028
Possibilités de traçage et réaction des utilisateurs
- Le fait que des enquêteurs fédéraux aient identifié un hacker présumé via un identifiant Microsoft a renforcé les inquiétudes sur un possible détournement à des fins de surveillance
- L’expert en cybersécurité Matthew Hickey a affirmé sur X : « Microsoft Windows is surveillance software »
- Le GDID n’est brièvement mentionné que sur une page d’assistance de Microsoft, sans explication publique plus détaillée de la part de l’entreprise
- Certains utilisateurs ont commencé à chercher comment limiter ou supprimer cet identifiant GDID
Réinstallation et questions ouvertes pour les autres plateformes
- Selon la plainte, le GDID est conservé après une mise à jour du système Windows sur le même appareil
- Si Windows est réinstallé sur le même appareil ou sur un autre, un nouveau GDID unique est associé
- Une note de bas de page de la plainte précise qu’un utilisateur Microsoft peut posséder plusieurs GDID
- Le chercheur en cybersécurité Costin Raiu s’est demandé si d’autres entreprises technologiques disposaient de capacités de surveillance similaires en s’appuyant sur des identifiants uniques
- Si cela se produit à la même échelle sur les appareils Apple
- Si l’identifiant est lié au matériel indépendamment d’une réinstallation
- Il a ajouté que, pour viser un anonymat complet, il pourrait être nécessaire d’utiliser Linux ou FreeBSD dans l’environnement de développement, en passant par un proxy, Tor ou un VPN
1 commentaires
Avis sur Hacker News
Le point intéressant n’est pas le simple fait qu’un identifiant d’appareil existe. Presque tous les systèmes d’exploitation modernes ont quelque chose de similaire La vraie question, c’est la frontière. Quels composants peuvent y accéder, et à quel moment un identifiant local devient un identifiant de suivi à distance Il y a une différence totale entre un machine-id stocké sur disque et le fait qu’un éditeur de système d’exploitation l’associe à l’activité réseau
Cela semble vouloir dire que Microsoft effectue une forme d’analyse de trafic sur le terminal, puis la relie au GDID. Ce serait probablement une partie de la protection en temps réel de Defender ou de MAPS Fait amusant, l’ancien nom de Microsoft Defender MAPS était SpyNet https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... Cela dit, l’identifiant GDID semble être de nature logicielle. Pour aller plus loin, ils pourraient aussi, comme certains jeux, le lier au numéro de série de la carte mère. On suivrait alors non plus une instance d’installation de Windows, mais tout le cycle de vie du matériel
Il va sans doute bientôt sortir un outil Windows qui changera l’identifiant de ce suspect en « g:6755467234350028 ». Au passage, c’est un identifiant étrange. Je comprends les 16 chiffres, mais je m’attendais à de l’hexadécimal Je me demande aussi comment fonctionne ce passage : « Selon les registres de Microsoft, le 12 mai 2025 à 19:21 UTC, le GDID associé à l’ordinateur de Stokes a accédé à 'https://dashboard[.]ngrok.com/signup' parmi plusieurs pages ngrok » Si c’est le navigateur qui envoie cette information à Microsoft, est-ce que personne n’aurait remarqué que le PC contacte Microsoft pour chaque page web ouverte ? Ou bien les données sont-elles mises en cache puis envoyées plus tard ? Si c’est le cas, est-ce que cela n’affecte alors « de façon limitée » que les utilisateurs du navigateur de Microsoft ? Ou bien Chrome envoie-t-il aussi le même type de données à Google ? L’autre possibilité est que cela se passe à un niveau plus bas, et je vois où un composant système pourrait accéder aux noms de domaine, mais je ne vois pas bien où il pourrait voir l’URL complète
Cela montre assez clairement que Microsoft ne se soucie pas de la vie privée, quoi qu’il affirme dans le titre de l’écran de consentement aux cookies Il ne s’en soucie absolument pas, et il faut dire la même chose de tous les grands fournisseurs de la Big Tech. Même si cela paraît banal, il est temps de dire ce qui doit être dit. Ils ne se soucient pas de votre vie privée, de votre indépendance ni de votre bien-être. Vraiment pas
Cet enfant utilisait son ordinateur depuis chez lui, ils l’ont retrouvé via l’adresse IP, et cette adresse IP envoyait aussi des requêtes Windows Updates. C’est ainsi qu’ils ont restreint le Device ID, puis cet identifiant d’appareil a mené à cet enfant C’est exactement le genre de chose contre lequel les défenseurs de la vie privée mettent en garde depuis longtemps. Ce type de capacité efface pratiquement toute affirmation en matière de vie privée Plus encore, des entreprises comme Google s’en sont servies pour faire disparaître toute attente même de vie privée
Le texte est ambigu. Rien ne prouve que Microsoft puisse voir quelles pages web un utilisateur visite dans Chrome ou Firefox
Est-ce que ça ne viole pas le droit européen sur la protection des données personnelles ?
Ça peut sembler complètement fou, mais je suis convaincu qu’il existe d’une manière ou d’une autre un lien entre ce type de télémétrie et la poussée massive et organisée de la publicité pour les VPN ces dernières années De plus en plus, la « main invisible du marché » ressemble littéralement à la main de quelques gigantesques groupes disposant du pouvoir et du capital. Ils façonnent la structure économique de l’ensemble du marché au point de le contrôler de fait, et créent un biais qui pousse les entreprises à optimiser leurs pertes Les VPN sont peut-être soit des spyware qui renforcent directement les capacités de suivi, soit des services proposés pour continuer à pister les utilisateurs tout en gagnant de l’argent sur leur peur, puisqu’on peut désormais les suivre même sans IP Plus largement, on a l’impression qu’il ne reste plus grand-chose du libre marché ni de la démocratie. Tous les gouvernements semblent désormais eux aussi pousser de manière organisée à la disparition de la vie privée
L’industrie tech américaine est en train de devenir rapidement comme la Russie et la Chine
Voici un fil connexe où les développeurs de Massgrave.dev expliquent une partie du mécanisme GDID https://x.com/massgravel/status/2074304593303892354