👉Microsoft peut faire tomber toutes tes protections. Ton VPN, ton IP masquée, tes comptes cloisonnés, rien de tout ça ne suffit face à un identifiant que Windows attribue à ta machine et que tu ne peux pas désactiver.
Et un cybercriminel vient d'en faire les frais 🔽
Peter Stokes, 19 ans, double nationalité américano-estonienne, vient d'être extradé de Finlande vers les États-Unis. Il est accusé d'association de malfaiteurs et de piratage lié à une demande de rançon de 8 millions de dollars contre un bijoutier de luxe en mai 2025, dans le cadre de l'affaire Scattered Spider.
La façon dont les autorités avec l'aide de Microsoft, ont réussis à l'identifier est finalement assez simple : le fournisseur d'OS a une visibilité que ni le VPN ni les réglages de confidentialité ne peuvent contrer.
▶️ Le concept clé : le GDID
Le Global Device Identifier est un identifiant unique attribué à chaque installation de Windows. Il sert normalement au diagnostic, au crash reporting, à l'analyse d'usage des fonctionnalités, et à la détection d'abus (comptes multiples pour contourner des essais gratuits, par exemple).
Les équipes de sécurité l'utilisent aussi de façon défensive : une connexion depuis un appareil inconnu sur un compte connu, ou l'inverse, est un signal classique de compromission.
Ce GDID ne change pas, sauf réinstallation complète de l'OS. Tu peux changer de VPN, de compte, de pseudonyme. La machine, elle, reste identifiable.
▶️Comment Microsoft a fait le lien
Stokes a créé un compte ngrok (utilisé pour exposer des services locaux à Internet, technique courante dans ce type d'intrusion) en passant par un VPN pour masquer son adresse IP.
Le VPN a bien masqué l'IP. Mais Microsoft, sur réquisition judiciaire, a pu établir que le même GDID avait accédé à la page d'inscription ngrok exactement au moment de la création du compte. L'identifiant machine a fait le lien que l'IP ne pouvait pas faire.
À partir de là, les enquêteurs ont recoupé l'historique d'adresses IP associées à ce GDID avec les horodatages de connexion sur Snapchat, Apple et Facebook, retrouvant des correspondances à Tallinn, New York et en Thaïlande.
Pourquoi c'est Microsoft qui tient la clé, pas toi
Le VPN protège la couche réseau. Il ne protège pas la couche appareil. Et cette couche appareil, c'est Microsoft qui la contrôle, pas toi. Tant que ta machine physique reste la même sous Windows, elle porte un identifiant persistant que toi-même tu ne peux ni voir ni désactiver par un simple réglage.
▶️Une précision que je tiens à faire
Plusieurs posts viraux affirment que Microsoft aurait eu accès à "l'historique complet de navigation" ou à "l'activité de jeux vidéo" de Stokes. Ce n'est pas ce que disent les documents judiciaires rendus publics.
Ce qui est documenté, c'est la corrélation GDID/horodatage sur l'inscription ngrok, puis le recoupement avec les journaux de connexion d'autres plateformes. Je préfère rester sur ce qui est vérifiable : le pouvoir réel de Microsoft ici est déjà suffisamment important sans en rajouter.
Une raison de plus de se passer de Microsoft...
Source images : @thecomfeed
