- Microsoft a publiquement confirmé l’existence du Global Device Identifier (GDID), attribué à chaque installation de Windows liée à un compte, et le parquet fédéral américain l’a mentionné dans une plainte fédérale utilisée pour remonter jusqu’à un individu soupçonné d’appartenir au groupe Scattered Spider
- La chaîne de services de Windows génère le GDID et l’envoie aux serveurs de Microsoft, où il persiste même après les mises à jour. Empêcher son attribution peut affecter l’activation de Windows et les applications du Microsoft Store
- Le FBI a relié environ 8 mois d’activité de Peter Stokes, à travers 4 pays et via VPN et proxys, au même GDID, puis a recoupé les créations de comptes ngrok et les accès au site du distributeur victime avec des données de réseaux sociaux et de voyage
- Le GDID ne dispose d’aucun mécanisme de consentement, de réinitialisation ou de désactivation, ni de documentation destinée au grand public, et même si sa valeur change après une réinstallation de Windows, les activités passées peuvent être de nouveau reliées si l’utilisateur se reconnecte avec le même compte Microsoft
- Un compte local et les réglages de confidentialité peuvent réduire le pistage associé, mais le GDID lui-même ne peut pas être désactivé directement, et Microsoft n’a annoncé aucun projet de contrôle utilisateur ou de documentation supplémentaire
Un identifiant persistant pour repérer les installations de Windows
- Le Global Device Identifier (GDID) est un identifiant au niveau de l’appareil attribué à une installation de Windows lorsque celle-ci est provisionnée pour un compte Microsoft
- C’est un identifiant persistant conçu pour distinguer de manière unique une installation de Windows, sur un appareil physique ou une machine virtuelle, dans certains services Microsoft et scénarios d’usage
- Il persiste après les mises à jour de Windows, mais n’est pas conservé si le disque est effacé puis que Windows est réinstallé
- Un même utilisateur peut avoir plusieurs GDID, et Microsoft peut les relier entre eux via le compte, OneDrive et l’historique d’activation
- Il a été appliqué en arrière-plan à environ 1,6 milliard d’utilisateurs de Windows, sans divulgation particulière ni contrôle utilisateur, et existe sur toutes les installations de Windows liées à un compte Microsoft
De la création au signalement aux serveurs de Microsoft
- Plusieurs services Windows s’enchaînent pour générer le GDID
- Le service
wlidsvcdemande un Device PUID àlogin.live.com - Connected Devices Platform enregistre cette valeur auprès du Microsoft Device Directory Service
- Delivery Optimization signale le GDID à Microsoft lorsque le PC télécharge ou partage des mises à jour
- Le service
- L’identifiant est stocké dans la clé
LIDdu registreHKCU\\SOFTWARE\\Microsoft\\IdentityCRL\\ExtendedProperties- Son format combine le préfixe minuscule
get des chiffres décimaux - L’interface standard de Windows ne permet pas à l’utilisateur de consulter son propre GDID
- Son format combine le préfixe minuscule
- Bloquer l’attribution du GDID peut empêcher l’activation de Windows et les applications UWP de fonctionner
- Selon Massgrave, à l’origine de Microsoft Activation Scripts, des informations matérielles sont envoyées à Microsoft lors de la configuration de Windows, puis un identifiant servant à l’accès au Store et aux licences est renvoyé
Comment le FBI a relié des sessions VPN
- Le FBI a utilisé le GDID pour suivre Peter Stokes, soupçonné d’être membre de Scattered Spider, au-delà des connexions VPN et des serveurs proxy
- Le suivi s’est étendu sur environ 8 mois et dans 4 pays
- D’après la plainte,
g:6755467234350028a accédé à la page d’inscription de ngrok au moment où un compte utilisé pour l’attaque a été créé via un proxy Tzulo VPN- Trois heures plus tard, le même GDID a accédé au site web du distributeur victime via le même proxy
- Les enquêteurs ont recoupé cet appareil avec des adresses IP liées aux comptes Snapchat, Facebook, Apple et Ubisoft de Stokes
- Les lieux de connexion incluaient notamment l’Estonie, New York et la Thaïlande
- Des photos publiées par Stokes sur Snapchat correspondaient à des réservations d’hôtel, à des lieux et à des déplacements associés au GDID
- Les adresses IP du VPN changeaient fréquemment, mais l’installation de Windows continuait de signaler le même identifiant, fournissant ainsi un indice de traçabilité à travers les sessions VPN
Un identifiant invisible et des limites de contrôle pour l’utilisateur
- Aucun écran de consentement n’apparaît lors de l’attribution du GDID, et il n’existe aucune fonction permettant à l’utilisateur de le réinitialiser ou de le désactiver
- L’identifiant publicitaire d’Apple propose une alerte App Tracking Transparency et une fonction de réinitialisation
- Android propose lui aussi des contrôles similaires
- Une réinstallation de Windows crée un nouveau GDID, mais si l’utilisateur se reconnecte avec le même compte Microsoft, Microsoft peut relier ce nouvel identifiant à l’activité passée
- La documentation publique de Microsoft se limite à une seule phrase dans un tableau de référence Azure Monitor destiné aux administrateurs IT d’entreprise, où le GDID est décrit comme « un identifiant utilisé en interne par Microsoft »
- Le chercheur en sécurité Matthew Hickey a qualifié Windows de « logiciel de surveillance (surveillance software) » à la lumière de cette affaire
- Costin Raiu a demandé, dans le podcast Three Buddy Problem, dans quelle mesure des mécanismes similaires existent aussi sur d’autres plateformes
- Les principaux systèmes d’exploitation conservent des moyens persistants d’identifier les appareils à des fins de licence et de vérification de sécurité, mais Windows, contrairement aux plateformes d’Apple et Google, n’offre pas de contrôles visibles à l’utilisateur
Réglages pour réduire le pistage associé
- Comme le GDID ne peut pas être désactivé directement sans dégrader des fonctions essentielles de Windows, les réglages suivants sont des mesures pour réduire le pistage associé
- Utiliser si possible un compte local plutôt qu’un compte Microsoft
- Les versions récentes de Windows 11 rendent la configuration d’un compte local plus difficile, mais les utilisateurs qui connaissent la procédure peuvent encore le choisir pendant l’installation
- Dans
Paramètres → Confidentialité et sécurité → Diagnostic et commentaires, désactiver les données de diagnostic facultatives - Dans
Confidentialité et sécurité → Recommandations et suggestions, désactiver la publicité personnalisée et le suivi du lancement des applications - Dans
Confidentialité et sécurité → Recherche, désactiver Cloud Content Search afin que la recherche locale ne soit pas envoyée à Bing - Vérifier puis désactiver Activity History et les autres options de télémétrie
- Utiliser si possible un compte local plutôt qu’un compte Microsoft
- Dans les situations où la persistance de l’identifiant peut constituer une menace, comme le journalisme, l’activisme ou les violences domestiques, il est recommandé d’utiliser Linux via Tor plutôt que de s’appuyer sur un PC Windows et un VPN commercial
- Même en réinstallant Windows pour obtenir un nouveau GDID, se reconnecter avec le même compte Microsoft fournit à Microsoft des données permettant de relier les activités passées
Une divulgation limitée et un statu quo pour l’avenir
- Des demandes légales comme des citations à comparaître peuvent contraindre Microsoft à fournir aux autorités des données d’activité liées au GDID, et l’affaire Scattered Spider en constitue un exemple concret
- Microsoft n’a pas indiqué vouloir modifier la manière dont le GDID est créé, stocké ou signalé, et n’a pas non plus promis d’offrir des contrôles ou une documentation destinés au grand public
- En dehors de la plainte fédérale, les seuls documents publics se limitent à une brève entrée dans la documentation Azure Monitor, et à ce jour, la partie de la plainte consacrée à la télémétrie Microsoft constitue la source publique la plus détaillée sur le fonctionnement du GDID
- L’affaire Scattered Spider suit toujours son cours devant la justice fédérale américaine, et les utilisateurs peuvent surveiller d’éventuelles mises à jour de Microsoft en matière de protection de la vie privée
1 commentaires
Avis sur Lobste.rs
Ce que je ne comprends pas, c’est comment Windows GDID est relié à l’activité de services externes à Microsoft. Est-ce que l’appareil envoie son GDID à ces services, ou bien Microsoft enregistre l’activité de navigation de tous les utilisateurs ? Si c’est le second cas, je me demande aussi si la collecte se fait seulement dans Edge, ou par d’autres moyens
.168, et, à peu près au même moment, un compte ngrok utilisé pour le piratage a été créé depuis cette même IP VPNPlusieurs personnes ont pu utiliser cette IP VPN au même moment, donc il est difficile d’y voir une preuve décisive. Être près d’un meurtre au moment des faits ne fait pas de vous le meurtrier, mais peut faire de vous un suspect. Le contexte — parler de hackers condamnés qui exhibaient une richesse à l’origine floue — a sans doute renforcé les soupçons, mais la découverte de données volées lors de la perquisition est bien plus convaincante
Le GDID ne semble pas avoir joué ici un rôle particulier. Il n’est mentionné que parce que Microsoft l’a utilisé dans sa propre analyse avant de transmettre des informations au FBI ; n’importe quelle autre entreprise collectant des logs d’IP liés à des comptes aurait probablement pu faire le même signalement
La requête judiciaire correspondante est ici : https://www.justice.gov/usao-ndil/media/1450651/dl?inline
La confirmation de Microsoft n’a pas d’importance ; l’existence de cette fonctionnalité était déjà établie même sans cette déclaration
Le chercheur en sécurité Matthew Hickey aurait qualifié Windows de « logiciel de surveillance » à propos de cette affaire, ce qui est ridicule. L’idée que Windows est un spyware circule au plus tard depuis la sortie de Windows 10