Si vous utilisez Windows, vous êtes probablement(nouvelle fenêtre) au moins(nouvelle fenêtre) vaguement conscient(nouvelle fenêtre) que votre ordinateur portable vous espionne(nouvelle fenêtre). Cette semaine, nous avons reçu un rappel concret de l’aspect particulièrement intrusif(nouvelle fenêtre) pour le respect de la vie privée(nouvelle fenêtre) du système d’exploitation omniprésent de Microsoft.
Peter Stokes, un jeune homme de 19 ans soupçonné d’appartenir au célèbre groupe de piratage criminel Scattered Spider(nouvelle fenêtre), a été extradé de Finlande vers les États-Unis et accusé d’avoir piraté la « Company F », un détaillant de bijoux de luxe.
Ce qui rend cette affaire intéressante, cependant, c’est la façon dont il a été arrêté.
Windows comme logiciel espion
Selon la plainte pénale(nouvelle fenêtre) du FBI, Stokes a utilisé un VPN pour masquer son activité en ligne. C’est généralement considéré comme une option judicieuse, car un VPN masque votre véritable adresse IP aux sites internet que vous visitez et votre activité en ligne à votre FAI. Mais il a commis une erreur de débutant fatale : il a utilisé Windows.
Les autorités ont identifié Stokes à l’aide des registres de Microsoft qui liaient son ordinateur à une utilisation suspecte de ngrok, un outil de tunnellisation de développement web utilisé pour « contourner les défenses du réseau de la Company F et activer un accès non autorisé persistant au centre de données de la Company F ».
Microsoft a pu identifier l’ordinateur de Stokes grâce à son Global Device Identifier (GDID), un « identifiant au niveau de l’appareil conçu pour identifier de manière unique une installation d’un système d’exploitation Windows sur un appareil ».
En d’autres termes, chaque installation de Windows possède un GDID que Microsoft peut utiliser pour identifier un appareil (y compris les appareils virtuels) et pour collecter la télémétrie(nouvelle fenêtre). La réinstallation de Windows crée un nouveau GDID pour cet appareil, mais n’efface pas l’ancien des systèmes de Microsoft, de sorte qu’il peut toujours être utilisé pour identifier un appareil.
Microsoft a ensuite transmis ces informations à des tiers.
Comment le FBI a utilisé les informations fournies par Microsoft
Ces seules preuves n’étaient pas suffisantes pour connecter le crime à Stokes, mais la connaissance du GDID a fourni au FBI un historique des adresses IP auxquelles son appareil avait accédé au fil du temps. Pour prouver que ces adresses IP appartenaient spécifiquement à Peter Stokes, les enquêteurs ont croisé cet historique d’adresses IP avec les connexions à des comptes connus comme lui appartenant, notamment Apple, Snapchat, Facebook et ses identifiants de jeu Growtopia.
Connecter le GDID à des comptes connus pour appartenir à Stokes a permis de prouver que le GDID utilisé pour pirater le bijoutier appartenait à un appareil détenu par Stokes, selon la plainte.
Le fait que l’une des adresses IP identifiées de cette manière appartienne à un hôtel de New York, dont les enquêteurs affirment qu’il correspond à l’intérieur visible sur un selfie Snapchat montrant Stokes se couvrant le visage avec une liasse de billets de 100 $, n’est pas près d’arranger son cas.

Qu’est-ce que cela signifie pour le reste d’entre nous ?
La première chose à souligner est que, dans ce cas, le système a fonctionné comme prévu.
Stokes fait face à des accusations comprenant l’association de malfaiteurs, l’intrusion informatique et la fraude liées à plus de 100 millions de dollars de rançons versées lors de plus de 100 intrusions dans des entreprises depuis 2022. L’utilisation des données de Microsoft par le FBI s’inscrit dans des cadres juridiques exigeant des ordonnances de tribunaux et des assignations.
Mais le GDID soulève des questions importantes concernant le consentement de l’utilisateur et la personne qui possède réellement le matériel pour lequel vous payez. On ne vous demande jamais d’accepter le GDID sur votre appareil, et il n’existe aucun moyen simple de le retirer. Même une réinstallation complète de Windows n’est qu’une solution partielle.
Dans toute la vaste documentation en ligne de Microsoft, GlobalDeviceId ne mérite qu’une seule mention, enfouie(nouvelle fenêtre) dans un document technique extrêmement obscur que personne ne lira probablement jamais.
Il est vrai, cependant, que tous les autres grands systèmes d’exploitation commerciaux, tels que macOS, Android et iOS, peuvent également, de manière presque certaine, identifier de façon unique les appareils auprès de leurs fabricants. Le plus regrettable est que la plupart d’entre nous acceptent simplement cette situation.
Pour ceux qui s’y refusent, la seule façon pratique d’éviter cela est d’utiliser des systèmes d’exploitation open source, tels que Linux.






