Un mécanisme de suivi intégré à Windows, le Global Device Identifier (GDID), a permis aux enquêteurs fédéraux américains de remonter jusqu’à un jeune homme de 19 ans impliqué dans des cyberattaques d’envergure. Les informations transmises par Microsoft ont été utilisées pour établir un lien entre des mois d’activités malveillantes et un seul ordinateur, ce qui a conduit à l’inculpation du suspect.

Un identifiant unique rattaché à chaque installation de Windows

Le GDID est un code unique généré pour chaque installation du système d’exploitation Windows. Contrairement à d’autres identifiants susceptibles de changer après une mise à jour, il reste constant, permettant ainsi une reconnaissance stable de l’appareil par certains services de Microsoft. Ce mécanisme a été mis en lumière dans une plainte déposée par le ministère américain de la Justice.

Les enquêteurs ont obtenu ce GDID après avoir adressé une réquisition judiciaire à Microsoft. L’entreprise a alors communiqué l’identifiant associé à l’ordinateur utilisé pour créer un compte sur la plateforme ngrok, un outil de tunneling habituellement employé par les développeurs mais détourné ici pour maintenir un accès à distance aux systèmes compromis.

Un parcours criminel jalonné d’attaques retentissantes

Le suspect, Peter Stokes, âgé de 19 ans et possédant les nationalités américaine et estonienne, est accusé d’être un membre actif du groupe Scattered Spider. Cette cellule de pirates informatiques est notamment tenue pour responsable des intrusions chez les géants des casinos MGM Resorts International et Caesars Entertainment en 2023, ainsi que de plusieurs attaques ciblant Marks & Spencer, Co-op et Harrods en 2025.

Les autorités américaines estiment que Scattered Spider serait impliqué dans plus d’une centaine d’intrusions informatiques, pour un total de rançons dépassant les 100 millions de dollars (environ 88 millions d’euros). L’affaire qui a permis d’aboutir à l’arrestation de Peter Stokes concerne une attaque perpétrée en mai 2025 contre un joaillier de luxe américain, anonymisé sous le nom de « Company F ».

Le mode opératoire : usurpation d’identité et ingénierie sociale

Selon les éléments de la plainte fédérale, les assaillants ont d’abord contacté le service d’assistance informatique de la joaillerie en se faisant passer pour des employés. Ils ont convaincu les techniciens de réinitialiser les mots de passe et les configurations d’authentification multifactorielle. En quelques heures, trois comptes ont été pris sous leur contrôle, dont deux bénéficiant de privilèges d’administrateur.

Une fois à l’intérieur du réseau, les pirates ont installé des outils comme ngrok et Teleport pour conserver un accès persistant. Ces logiciels créent des tunnels chiffrés vers des serveurs externes, contournant les pare-feu et rendant la détection plus difficile. C’est en remontant la trace du compte ngrok que les enquêteurs ont obtenu le GDID auprès de Microsoft.

De l’identification à l’arrestation

Peter Stokes avait déjà été repéré par les autorités dès 2024, alors qu’il n’avait que 17 ans et résidait entre l’Estonie et les Émirats arabes unis. À l’époque, une extradition semblait difficile. Mais l’attaque de mai 2025 a fourni un faisceau de preuves suffisant pour obtenir un mandat d’arrêt fédéral. Le jeune homme a finalement été arrêté et extradé vers les États-Unis.

Des implications sur la vie privée

La révélation de l’existence du GDID soulève des interrogations sur les données de télémétrie collectées par Microsoft. Bien que cet identifiant soit utilisé à des fins légitimes de reconnaissance des appareils, son exploitation par les forces de l’ordre illustre comment des mécanismes techniques, initialement conçus pour le fonctionnement du système, peuvent être détournés dans le cadre d’enquêtes pénales. Les experts en cybersécurité s’interrogent sur la portée de ces données et sur les garanties encadrant leur accès par les autorités.