Un identifiant unique et caché, intégré à Windows, permettrait à Microsoft de relier un PC à l’activité en ligne de son utilisateur. Cet identifiant reste actif même en cas d’usage d’un VPN, et aucun réglage utilisateur ne permet de le désactiver. La révélation vient d’un document judiciaire américain, et elle concerne potentiellement 1,4 milliard de machines.
Une plainte de 39 pages qui remonte le fil d’une cavale
Le document a été déscellé le 1er juillet. Il s’agit d’une plainte pénale de 39 pages liée à une affaire de cybercriminalité, et il détaille le rôle central joué par Microsoft dans l’identification d’un suspect. Ce suspect, Peter Stokes, 19 ans, double national américano-estonien, a été extradé vers les États-Unis fin juin après son arrestation en Finlande. Le ministère américain de la Justice l’accuse d’appartenir au collectif Scattered Spider, responsable de plus de 100 intrusions informatiques et de plus de 100 millions de dollars de rançons.
En mai 2025, ce collectif a piraté un joaillier de luxe américain. Pour masquer son adresse IP, Stokes aurait utilisé un VPN. Le VPN a bien fonctionné au niveau de la couche réseau. Mais l’identifiant Windows, lui, n’a jamais bougé.
Un identifiant qui trahit l’adresse du réseau
Ce numéro porte un nom technique : GDID g6755467234350028, attribué à l’installation Windows de Stokes. Selon la plainte, cet identifiant a accédé à la page d’inscription de l’outil ngrok à 19h21 UTC le 12 mai 2025, soit à la minute exacte de la création du compte utilisé pour l’intrusion.
Le FBI a ensuite croisé l’historique IP du GDID avec les journaux d’accès Snapchat, Apple et Facebook de Stokes. Résultat : les mêmes adresses IP apparaissent à Tallinn, à New York et en Thaïlande, à quelques minutes d’intervalle seulement. Les enquêteurs ont recoupé ces éléments avec les registres du Département d’État américain et avec des photos d’hôtels de luxe publiées par le suspect sur ses réseaux sociaux.
1,4 milliard de machines concernées
L’affaire dépasse largement le cas Stokes. Le GDID persiste à travers les mises à jour de Windows : seule une réinstallation complète du système en génère un nouveau. Encore faut-il que Microsoft ne puisse pas recorréler l’ancien et le nouveau identifiant via d’autres signaux, comme le compte Microsoft, l’adresse IP ou l’empreinte matérielle. Rien ne garantit l’inverse.
Aucun mécanisme de désactivation n’a été documenté. Aucun rapport de transparence ne précise dans quelles conditions Microsoft transmet ces données aux autorités. Sur le papier, ce sont donc 1,4 milliard de machines qui embarquent, en silence, cet identifiant.
Costin Raiu, ancien directeur de la recherche chez Kaspersky et figure respectée du renseignement cyber, a réagi dans le podcast Three Buddy Problem. Il élargit la question à d’autres éditeurs, Apple et Google en tête : ces entreprises attribuent-elles des identifiants équivalents ? Sont-ils liés au matériel, ce qui rendrait la réinstallation elle-même insuffisante ?
Sa conclusion tient en une phrase : « Si vous voulez être réellement anonyme, vous devrez peut-être passer par Linux, FreeBSD, et tout tunneliser à travers des proxys, Tor et des VPN. »






