Un numéro que personne ne voit, que personne n'a choisi et qu'aucun réglage ne permet d'éteindre. C'est ce Global Device Identifier, ou GDID, intégré à Windows, qui vient de permettre au FBI de localiser un suspect malgré l'usage répété de VPN. La preuve figure noir sur blanc dans un document judiciaire américain : Microsoft a transmis cet identifiant aux enquêteurs, ainsi que l'historique complet des adresses IP qui lui sont associées.

L'affaire concerne Peter Stokes, 19 ans, double national américano-estonien. Extradé vers les États-Unis fin juin après son arrestation en Finlande, il est accusé par le ministère américain de la Justice d'appartenir au collectif Scattered Spider, tenu pour responsable de plus de 100 intrusions informatiques et de plus de 100 millions de dollars de rançons. Une plainte pénale de 39 pages, déscellée le 1er juillet, détaille le rôle central joué par Microsoft dans son identification.

Le VPN a masqué l'IP, pas l'identifiant Windows

En mai 2025, Stokes aurait piraté un joaillier de luxe américain. Pour brouiller les pistes, il enchaînait les VPN et changeait de pays. Le procédé a fonctionné, en apparence : le VPN a bien masqué son adresse IP au niveau de la couche réseau. Mais l'identifiant Windows, lui, n'a jamais bougé.

Les registres de Microsoft ont montré que le GDID g6755467234350028, attribué à son installation Windows, avait accédé à la page d'inscription de l'outil ngrok à 19 h 21 UTC le 12 mai 2025, soit exactement à la minute de création du compte utilisé pour l'intrusion, raconte Les Numériques.

Le FBI a ensuite croisé cet historique IP avec les journaux d'accès Snapchat, Apple et Facebook de Stokes : les mêmes adresses apparaissaient à Tallinn, à New York et en Thaïlande, à quelques minutes d'intervalle, coïncidant avec ses déplacements réels.

Un identifiant qui survit aux mises à jour

Le GDID est attribué à chaque installation de Windows et reste constant, quels que soient les changements d'adresse IP, l'usage d'un VPN ou les mises à jour du système. Il opère au niveau du système d'exploitation, pas de la couche réseau, ce qui explique qu'un VPN ne puisse rien contre lui.

Officiellement, il sert à trois usages : la télémétrie, les rapports de plantage et la vérification des licences. L'utilisateur ne le voit jamais, ne l'a jamais choisi, et aucun bouton ne permet de le désactiver.

Ce détail technique concerne 1,4 milliard de machines sous Windows. Seule une réinstallation complète du système génère un nouveau GDID, mais rien ne garantit que Microsoft ne puisse recorréler l'ancien et le nouveau identifiant via d'autres signaux, comme le compte Microsoft, l'adresse IP ou l'empreinte matérielle. Aucun rapport de transparence ne précise dans quelles conditions ces données sont transmises aux autorités, et Microsoft partage le GDID sur demande, sans communication publique à ce sujet.

Costin Raiu, ancien directeur de la recherche chez Kaspersky et figure respectée du renseignement cyber, élargit la question à Apple et Google, s'interrogeant sur l'existence d'identifiants équivalents chez ces éditeurs. Dans le podcast Three Buddy Problem, il résume les limites de l'anonymat en ligne : « Si vous voulez être réellement anonyme, vous devrez peut-être passer par Linux, FreeBSD, et tout tunneliser à travers des proxys, Tor et des VPN. »

Installer Windows 11 sans compte Microsoft, désactiver la télémétrie facultative ou se tourner vers une alternative européenne du numérique limitent certaines fuites de données. Aucune de ces méthodes, en revanche, ne permet d'éteindre le GDID lui-même : l'option n'existe tout simplement pas.