GDID, cet identifiant Windows qui a permis au FBI de traquer un membre de Scattered Spider
Un simple identifiant technique présent sur toutes les machines Windows a suffi à mettre le FBI sur la piste d’un membre présumé du groupe de pirates Scattered Spider. Son petit nom : GDID alias Global Device Identifier. Ce marqueur associé à chaque installation de Windows a permis de faire un lien entre une machine et une cyberattaque remontant à mai 2025 contre un joaillier de luxe américain, puis de remonter jusqu’à Peter Stokes, 19 ans, aujourd’hui inculpé aux États-Unis.
Sommaire
Un identifiant Windows au cœur de la traque
Selon la plainte fédérale déposée dans le district Nord de l’Illinois et rendue publique fin juin 2026, Microsoft a transmis au FBI des enregistrements liés à un Global Device Identifier (GDID). Cet identifiant est présenté par la firme de Redmond comme un identifiant persistant, propre à une installation de Windows, qui survit aux mises à jour du système et n’est modifié qu’en cas de réinstallation complète. Autrement dit, il identifie de façon unique une machine Windows.

Dans les documents judiciaires, la machine concernée portait justement un identifiant GDID unique : . Preuve que Microsoft sait beaucoup de choses sur l’activité des machines, il a été possible de savoir que cette machine avait consulté la page d’inscription de ngrok le 12 mai 2025 à 19h21 (UTC). Et alors me direz-vous ? Et bien, il s’agit de la minute exacte où un compte a été utilisé pour maintenir l’accès pendant l’intrusion, puis il a rejoint le site du joaillier via le même proxy environ trois heures plus tard.
Le recoupement ne s’arrête pas là. Le même appareil est réapparu sur les mêmes adresses IP, aux mêmes moments, sur des comptes Snapchat, Apple et Facebook attribués par les procureurs à Peter Stokes. Les enquêteurs le situent ainsi à Tallinn (Estonie) en juin 2024, à New York en novembre 2024, puis en Thaïlande en février 2025, des déplacements corroborés par les registres de voyage du Département d’État américain. L’accusé aurait par ailleurs multiplié les erreurs d’hygiène numérique, en exhibant sur Snapchat liasses de billets, montres et chaînes en diamant, dont l’une affichait le message “HACK THE PLANET”.
Sur le papier, le GDID n’est pas une fonction d’espionnage cachée dans Windows 11. Ce n’est pas non plus un dispositif permettant à Microsoft de pister en continu chaque utilisateur, il a d’abord un rôle fonctionnel au sein de Windows. Mais dans le cas présent, il est vrai qu’il a permis de remonter jusqu’au pirate.
Toutefois, Microsoft ne documente pas beaucoup cet identifiant. Le GDID serait un identifiant persistant attribué à chaque installation de Windows, sur une machine physique comme sur une machine virtuelle, et servant de point d’ancrage à travers certains services de l’éditeur. Il pourrait s’agir d’un marqueur permettant d’identifier une machine et destiné à faire fonctionner les fonctions connectées de Windows et la télémétrie. D’après une analyse de rétro-ingénierie publiée sur GitHub, il reposerait sur un identifiant de 64 bits attribué par les serveurs de Microsoft lors de l’enregistrement de l’appareil, et non sur une empreinte du matériel. Ces éléments techniques restent toutefois à confirmer, car ils ne proviennent pas de Microsoft.
Une attaque partie du support informatique
L’intrusion elle-même n’a exploité aucune faille logicielle. Comme souvent avec les cyberattaques, elle a ciblé le maillon faible : l’humain. D’après la plainte relayée par The Hacker News, voici le déroulé de l’attaque menée entre le 12 et le 15 mai 2025 :
- Des appels au support informatique du joaillier, passés depuis des numéros Google Voice, les pirates se faisant passer pour des employés bloqués sur leur compte.
- La réinitialisation, obtenue auprès des équipes support, des mots de passe et des appareils mobiles associés à l’authentification multifacteur (MFA).
- La prise de contrôle, en quelques heures, de trois comptes, dont deux disposant de privilèges d’administration.
- Le déploiement des outils de tunnel ngrok et Teleport, puis l’exfiltration d’au moins 77 Go de données vers un stockage cloud Amazon.
Les pirates informatiques de Scattered Spider auraient ensuite tenté de déployer un ransomware, mais l’intrusion a été détectée à temps. Malgré tout, une demande d’extorsion a été envoyée, suivie d’une demande de rançon d’environ 8 millions de dollars en cryptomonnaie. L’entreprise a refusé de payer et désormais elle estime son préjudice à au moins 2 millions de dollars (entre interruption d’activité, investigation et remédiation).
Ce scénario d’attaque illustre bien pourquoi il est nécessaire de sécuriser le helpdesk face aux attaques d’ingénierie sociale, en imposant par exemple une vérification d’identité stricte avant toute réinitialisation.
Scattered Spider : arrestation de Peter Strokes
Quant au pirate arrêté, à savoir Peter Stokes, il est poursuivi pour association de malfaiteurs, intrusion informatique et fraude. Il a été interpellé en Finlande en avril 2026 sur la base d’une notice rouge d’Interpol, puis extradé vers les États-Unis, où il a comparu pour la première fois le 30 juin devant un tribunal de Chicago. Il est présumé innocent dans l’attente de son procès. Selon le Département de la Justice américain, Scattered Spider serait impliqué dans plus de 100 intrusions, pour plus de 100 millions de dollars de rançons versées. L’attaque contre MGM Resorts (2023) est probablement l’un de leurs plus gros coups.
Il n’est pas à exclure que les forces de l’ordre soient sur la piste d’autres membres du groupe Scattered Spider. En effet, lorsque la police finlandaise a intercepté Peter Stokes à l’aéroport d’Helsinki, alors qu’il tentait d’embarquer pour le Japon, elle a saisi deux disques durs de 2 To. Ces supports de stockage pourraient contenir des informations sur des outils, des infrastructures ou des contacts menant au prochain membre…. Affaire à suivre.