Qu’est-ce que le GDID de Windows qui a permis au FBI de retrouver un suspect ?
L'espion qui m'a traqué
Illustration : Flock
Le 08 juillet à 11h46
Le FBI a pu arrêter un pirate en se servant d’une information délivrée par Microsoft : le GDID. Il s’agit d’un identifiant généré par Windows, spécifique à la machine et ne pouvant pas être changé simplement. En revanche, cet identifiant n’est pas pensé initialement pour la surveillance. Explications.
Qu’est-ce que le GDID de Windows qui a permis au FBI de retrouver un suspect ?
L'espion qui m'a traqué
Illustration : Flock
Le FBI a pu arrêter un pirate en se servant d’une information délivrée par Microsoft : le GDID. Il s’agit d’un identifiant généré par Windows, spécifique à la machine et ne pouvant pas être changé simplement. En revanche, cet identifiant n’est pas pensé initialement pour la surveillance. Explications.
Sécurité
Sécurité
8 min
Le département américain de la Justice (DoJ) a annoncé le 1ᵉʳ juillet qu’un membre du groupe de pirates Scattered Spider (aussi appelé Octo Tempest, UNC3944 ou Oktapus) avait été arrêté en Finlande et extradé aux États-Unis. Peter Stokes, 19 ans, citoyen américain et estonien, est poursuivi pour complot, intrusion informatique et fraude. Son arrestation remonte à avril dans le cadre d’une enquête impliquant notamment Interpol. Il a comparu mardi pour la première fois devant un tribunal fédéral à Chicago.
« La plainte pénale accuse Peter Stokes d’appartenance à Scattered Spider, un groupe de piratage impliqué dans plus de 100 intrusions sur le réseau, entraînant plus de 100 millions de dollars en rançons et des millions supplémentaires en dommages et intérêts aux victimes », indique le ministère :
« Les charges dévoilées aujourd’hui sont le fruit de plusieurs années de travail de la division pénale, du bureau du procureur des États-Unis pour le district nord de l’Illinois et du FBI. Nous continuerons à nous associer pour garantir que les cybercriminels ne puissent pas échapper à la justice des États-Unis. »
Le groupe Scattered Spider est connu, entre autres, pour avoir compromis le système informatique d’un détaillant de bijoux de luxe, exfiltré des données et fait une demande de rançon de 8 millions de dollars en cryptomonnaie en 2025.
« Le personnel de sécurité du détaillant a réussi à expulser les acteurs malveillants du réseau informatique de l’entreprise sans qu’aucune rançon n’ait été versée. Le détaillant a néanmoins subi une perte d’au moins 2 millions de dollars en raison de perturbations commerciales, d’enquêtes et de mesures d’atténuations de la menace », précise le DoJ.
Comment Peter Stoker a-t-il été retrouvé ?
La plainte, l’arrestation et l’extradition du pirate reposaient en partie sur la filature d’un identifiant présent dans Windows, signale notamment The Register. Dans la plainte (.pdf), on trouve page 34 la définition de cet identifiant GDID, pour Global Device Identifier :
« Selon un représentant de Microsoft, un Global Device Identifier dans l’écosystème Windows est un identifiant persistant au niveau de l’appareil, conçu pour identifier de manière unique une installation du système d’exploitation Windows sur un appareil, qu’il s’agisse d’un appareil physique (par exemple, un téléphone portable ou un ordinateur portable) ou d’une machine virtuelle, dans certains services et scénarios Microsoft. Un GDID est un identifiant unique mondial lié à l’installation de Windows sur un appareil. »
Les membres de Scattered Spider utilisent pourtant un outil de tunneling appelé ngrok, normalement conçu pour router et protéger le trafic vers des applications API et modèles d’IA. Les pirates s’en servent pour contourner les barrières réseau et maintenir un accès dans les serveurs compromis. Ils utilisent également un service VPN nommé Tzulo.
Les enquêteurs ont donc commencé par obtenir des enregistrements d’adresses IP auprès de ngrok et Tzulo, qui sont des entreprises et doivent donc se plier aux mandats. Ils se sont ensuite tournés vers Microsoft pour savoir si ces adresses IP pouvaient être associées avec des identifiants pour des appareils qui auraient été utilisés aux moments où les comptes auraient été configurés sur ces machines. C’est ce qu’a permis le GDID.
« Selon les archives Microsoft, vers le 12 mai 2025, à 19h21 UTC – lorsque, selon les archives ngrok, le compte ngrok a été créé – l’appareil avec le GDID a accédé, entre autres pages ngrok, à ‘https://dashboard.ngrok.com/signup’, la page ngrok pour créer un compte ngrok », indique le document. Ces mêmes archives ont montré que l’appareil utilisé avait aussi servi à contacter les serveurs de Tzulo. Le GDID a permis de relier cette masse d’informations à une adresse IP située en Estonie.
Windows nous surveille-t-il avec une donnée permanente ?
Oui et non. Comme toujours, la vérité est plus complexe. Pour comprendre, il faut entrer dans les éléments techniques.
Le Global Device Identifier n’est pas un identifiant matériel calculé à partir de numéros de série (contrairement à une rumeur qui a circulé). C’est un identifiant logiciel généré côté serveur par les services de comptes Microsoft : le service wlidsvc (Microsoft Account) provisionne l’appareil auprès de login.live.com et reçoit en retour un PUID d’appareil.
Cet identifiant est stocké dans le registre Windows, puis repris par le Connected Devices Platform (services CDPSvc/CDPUserSvc), qui l’enregistre dans le Device Directory Service, le graphe d’identité de Microsoft qui sert de fondation à des fonctions comme Phone Link, le presse-papier cloud ou « Continuer sur PC » sur plusieurs appareils liés.
Il est ensuite exposé sous le nom GlobalDeviceId (donc GDID) dans la table UCDOStatus de Delivery Optimization, documentée publiquement dans Azure Monitor. Le format est une chaîne « g:<chaine décimale> », ce qui correspond à celui cité dans la plainte : g:6755467234350028.
Sa persistance est quasi-totale : il ne change pas, quelles que soient les manipulations et opérations faites sur Windows, y compris les mises à jour, mineures comme majeures. En revanche, puisqu’il est attribué à la première connexion à un service de Microsoft, la réinstallation du système entraine la génération d’un nouveau GDID.
C’est, de manière générale, l’identifiant qui permet à plusieurs machines reliées par le même compte de donner une unicité à chacune d’elles. Il sert également pour des opérations comme la télémétrie pour les diagnostics, les rapports de bugs/plantages, la fréquence d’utilisation de certaines fonctions ou encore la vérification de la licence. Autant de services qui contactent les serveurs de Microsoft.
Mais contrairement à ce que l’on peut lire parfois, le GDID ne permet pas de « voir » directement une adresse IP malgré l’utilisation d’un VPN ou d’un réseau d’anonymisation comme Tor. C’est plus subtil : dans l’enquête, le GDID a servi de clé de corrélation stable entre des sessions dont l’IP change à chaque rotation de VPN. En revanche, tout n’est pas clair car les informations manquent : comment Microsoft a-t-il su que ce GDID avait visité une URL ngrok précise ? Au moins une technique complémentaire a probablement été utilisée.
Précision importante, le GDID n’est pas une information accessible publiquement. Elle ne peut notamment pas être repérée par les sites web lors des visites et servir par exemple à la construction d’une empreinte (fingerprint). Son obtention ne peut se faire qu’en le réclamant à Microsoft, avec un mandat.
Qu’en retenir ?
Le constat souvent fait dans la presse et chez les développeurs qui se sont penchés sur la question est que le GDID, même s’il est parfois mentionné dans la documentation de Microsoft, n’a pas de page dédiée. Les informations manquent à son sujet, expliquant une partie du « fantasme ». S’il s’agit bien d’une information pouvant être utilisée pour espionner, l’identifiant n’a pas été créé avec cet objectif.
Au-delà de cette information, on peut s’interroger sur le niveau pratique de certains pirates, qui n’appliquent pas le cloisonnement des identités. Un professionnel de l’anonymat « sérieux » n’utilise pas un Windows grand public avec ses comptes personnels pour des activités sensibles : il utilise des systèmes dédiés à usage unique (comme Tails ou Qubes OS) sans compte Microsoft associé ni mélange entre sessions identifiées et anonymes sur la même machine.
Sur son site, l’ingénieur Pasquale Pillitteri ajoute : « Quiconque croit que changer d’adresse IP équivaut à devenir invisible ignore le nombre d’identifiants stables que produit tout appareil moderne, du système d’exploitation au navigateur en passant par les comptes ».
Le GDID n’est pas un mouchard actif exploitable à distance par n’importe qui, mais c’est bien un identifiant réel, persistant, qui a démontré sa capacité à recouper des sessions VPN distinctes. Le « risque » est réel mais conditionnel : il suppose une machine Windows non cloisonnée, des services de télémétrie actifs et une coopération légale de Microsoft, pas une surveillance passive universelle.
Commentaires (10)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousAujourd'hui à 11h54
Aujourd'hui à 11h56
Il y a 51 minutes
Ca n'empêche pas d'utiliser WSL ou une VM Linux.
Il y a 33 minutes
Et non, il n'y a pas que Kali Linux dans la vie. Pour cet usage, l'archétype serait plutôt OpenBSD.
Il y a 54 minutes
Il y a 54 minutes
Il y a 46 minutes
Ou bien, un GDID est-il créé de toute manière dès qu'il y a une interaction avec un service MS (i.e. Windows update pour ne citer que ce dont on ne peut pas raisonnablement se passer sous Windows) ?
Il y a 14 minutes
Il y a 2 minutes
Mettons que l'utilisateur se connecte à chaque fois qu'il chanve d'IP à un service Microsoft (le "presse-papier cloud" par exemple), qui stocké IP et GDID, et horodatage.
Hop voilà de quoi lier une machine à divers IPs à travers le temps, non ?
Modifié à l'instant
Sous GNU/Linux, il y a le fichier "/etc/machine-id" qui semble avoir le meme "intérêt". je crois que maintenant il est regéneré à chaque démarrage mais ca reste à confirmer.
Il y a au moins chrome qui lit ce fichier (et donc te désanonymise meme si derriere VPN, etc..)
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?