Chaque PC sous Windows embarque un identifiant unique, invisible, que Microsoft peut relier à votre activité en ligne. Un VPN n’y change rien. Aucun réglage ne permet de le désactiver. Un document judiciaire américain, déscellé le 1er juillet, en révèle l’existence et la portée réelle : 1,4 milliard de machines sont concernées.
Peter Stokes a 19 ans. Double national américano-estonien, il a été extradé vers les États-Unis fin juin après son arrestation en Finlande. Le ministère américain de la Justice l’accuse d’appartenir à Scattered Spider, un collectif de cybercriminels responsable de plus de 100 intrusions et de plus de 100 millions de dollars de rançons. La plainte pénale de 39 pages, déscellée le 1er juillet 2026, détaille le rôle central joué par un détail technique dans l’identification du suspect.
Un VPN efficace, un Windows bavard
En mai 2025, Stokes aurait piraté un joaillier de luxe américain. Il passe par un VPN pour masquer son adresse IP. Le réseau fait son travail, couche réseau invisible. Mais l’identifiant Windows, lui, n’a jamais bougé. Le FBI a découvert que chaque installation de Windows possède un GDID, Global Device Identifier, un numéro unique qui persiste à travers les mises à jour, les changements de réseau, et même l’utilisation d’un VPN.
Les registres de Microsoft ont montré que le GDID g6755467234350028, attribué à l’installation Windows de Stokes, avait accédé à la page d’inscription de l’outil ngrok à 19h21 UTC le 12 mai 2025, à la minute exacte de la création du compte utilisé pour l’intrusion. Le FBI a ensuite croisé l’historique IP de ce GDID avec les journaux Snapchat, Apple et Facebook de Stokes. Résultat : mêmes adresses IP à Tallinn, New York et en Thaïlande, corroborées par les registres du Département d’État et les photos d’hôtels de luxe publiées par le suspect sur ses réseaux sociaux.
Le GDID, mouchard silencieux de Windows
Ce qu’il faut comprendre : le GDID n’est pas une simple empreinte matérielle. C’est un identifiant au niveau de l’installation de Windows, persistant à travers les mises à jour système. Seule une réinstallation complète du système en génère un nouveau, et rien ne garantit que Microsoft ne puisse recorréler l’ancien et le nouveau via d’autres signaux comme le compte Microsoft, l’adresse IP ou l’empreinte matérielle. Aucun mécanisme de désactivation n’a été documenté. Aucun rapport de transparence ne précise dans quelles conditions Microsoft transmet ces données aux autorités.
Costin Raiu, ancien directeur de la recherche chez Kaspersky et figure respectée du renseignement cyber, élargit la question dans le podcast Three Buddy Problem : Apple, Google et les autres grands éditeurs attribuent-ils des identifiants équivalents ? Sont-ils liés au matériel, rendant la réinstallation elle-même insuffisante ? « Si vous voulez être anonyme, vous devrez peut-être passer par Linux, FreeBSD, et tout tunneliser à travers des proxys, Tor et des VPN », résume-t-il. Une pique qui donne le ton : dans l’état actuel, un Windows connecté n’est jamais totalement anonyme.
La question est d’autant plus pertinente que le GDID n’est qu’un mécanisme parmi d’autres. Windows 11 collecte habituellement un identifiant publicitaire unique, des données de télémétrie, une empreinte matérielle et un identifiant de compte Microsoft. Mais le GDID se distingue : il est lié à l’installation elle-même, pas au matériel ni au compte utilisateur. Il traverse les réinstallations de pilotes, les changements de carte mère, les migrations de disque dur. C’est le seul identifiant que Microsoft n’a jamais documenté publiquement dans ses pages de confidentialité.
1,4 milliard de PC sous surveillance
La révélation dépasse le cas Stokes. Si un GDID peut trahir un hacker sous VPN, que signifie cette empreinte pour les 1,4 milliard d’utilisateurs Windows dans le monde ? Le parquet américain s’est appuyé sur un mécanisme que Microsoft n’a jamais documenté publiquement. Aucun communiqué, aucun article de support, aucune mention dans les paramètres de confidentialité. C’est une faille de transparence qui interroge : combien d’autres identifiants du même type transitent entre Windows et les serveurs de Microsoft sans que l’utilisateur en ait conscience ?
Le constat est simple pour les professionnels de la tech : un PC sous Windows connecté à Internet laisse une empreinte quasi indélébile. La seule parade documentée reste la réinstallation complète du système. Et si Raiu a raison sur la possibilité d’une recorrélation via d’autres signaux, même cette parade pourrait être insuffisante. Pour les DSI et responsables sécurité, cette affaire pose une question concrète : faut-il intégrer le GDID dans la cartographie des risques liés aux postes de travail Windows ?
L’affaire Stokes a au moins le mérite de lever un coin du voile. Mais un voile reste un voile : Microsoft n’a pas commenté la révélation, et la documentation officielle sur le GDID se limite aux quelques lignes du rapport judiciaire. En attendant, 1,4 milliard de machines continuent de transmettre leur identifiant unique à chaque connexion à un service Microsoft. Même derrière un VPN.
