GDID : c'est quoi, cet identifiant secret caché dans Windows ?

GDID : c'est quoi, cet identifiant secret caché dans Windows ?

Un hacker de 19 ans pensait être invisible derrière ses VPN. C'est un identifiant secret enfoui dans son Windows qui l'a trahi. Ce numéro existe sur tous les PC, y compris le vôtre. Et vous ne pouvez pas le supprimer.

En avril 2026, Peter Stokes, 19 ans, est arrêté à l'aéroport d'Helsinki par la police finlandaise sur notice rouge d'Interpol, deux disques durs de 2 To sous le bras. Les autorités américaines l'accusent d'appartenir au groupe Scattered Spider, un réseau criminel impliqué dans plus de 100 intrusions d'entreprises et plus de 100 millions de dollars de rançons selon le département de la Justice. Son crime le plus récent : le piratage d'un joaillier de luxe américain en mai 2025, avec vol de 77 gigaoctets de données et une demande de rançon de 8 millions de dollars en cryptomonnaie.

Pour commettre ses méfaits, Stokes utilisait des VPN, changeait de pays, multipliait les proxies et les identités en ligne. Sur le papier, une protection solide. Pourtant le FBI n'a pas eu besoin de retrouver une fuite réseau ou une adresse IP mal configurée. La piste décisive est venue d'un identifiant 64 bits enfoui dans son installation de Windows, que Microsoft a transmis aux enquêteurs sur ordonnance judiciaire. Cet identifiant s'appelle le GDID – Global Device Identifier. Et il équipe chaque PC Windows dans le monde, silencieusement, sans que personne n'en ait jamais été informé.

GDID : un identifiant unique enfoui au cœur de Windows

La définition officielle, extraite de la plainte pénale de 39 pages, est fournie par un représentant de Microsoft lui-même : le GDID est "un identifiant persistant au niveau de l'appareil, conçu pour identifier de manière unique une installation du système d'exploitation Windows sur un appareil physique ou virtuel, à travers certains services et scénarios Microsoft".

Concrètement, cet identifiant unique est attribué lors de chaque installation de Windows. Il sert à la télémétrie, aux rapports de plantage, à la vérification des licences – et il reste constant même après des mises à jour système. Il n'est pas dérivé de votre matériel. C'est un numéro généré par les serveurs de Microsoft au moment où vous connectez Windows à un compte Microsoft. Il est lié à votre compte, pas à votre machine – ce qui a une implication capitale : réinstaller Windows crée un nouveau GDID, mais n'efface pas l'ancien des serveurs de Microsoft. Et si vous vous reconnectez avec le même compte Microsoft après réinstallation, les deux identifiants peuvent être rapprochés.

Il est stocké dans le registre Windows, à l'emplacement HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties, sous la clé LID. Aucune interface utilisateur ne le montre. Aucun paramètre ne permet de le désactiver.

GDID : un traqueur pour les enquêteurs 

Les enquêteurs avaient repéré qu'un compte ngrok – un outil de tunnellisation utilisé pour contourner les défenses réseau du joaillier – avait été créé le 12 mai 2025 à 19h21 UTC depuis une adresse IP appartenant à un fournisseur VPN nommé Tzulo. Trois heures plus tard, la même adresse IP avait accédé au site du joaillier lui-même. Une coïncidence accablante, mais pas suffisante pour identifier formellement quelqu'un derrière un VPN.

C'est là qu'intervient le GDID. Les registres de Microsoft montraient qu'à ce même instant précis, un appareil Windows portant l'identifiant g:6755467234350028 avait visité la page d'inscription de ngrok. Le même identifiant avait ensuite accédé au site du joaillier via le même proxy Tzulo. Le FBI tenait son fil. Les enquêteurs ont ensuite croisé l'historique d'adresses IP associé à ce GDID avec les connexions aux comptes personnels de Stokes – Apple, Snapchat, Facebook, son compte de jeu Growtopia – et retrouvé des correspondances à Tallinn en Estonie, à New York, en Thaïlande. Les selfies postés sur les réseaux sociaux correspondaient aux hôtels, aux dates, aux lieux. Stokes aurait pu empiler dix VPN simultanément. Microsoft suivait l'appareil lui-même, pas la connexion réseau.

L'affaire Stokes n'a pas révélé une faille dans Windows : elle a révélé une architecture délibérée. Pour les 1,6 milliard d'utilisateurs de Windows dans le monde, le GDID fonctionne en arrière-plan depuis des années, sans divulgation publique ni contrôle utilisateur. La quasi-totalité d'entre eux n'en avaient jamais entendu parler avant cette affaire.

GDID : un marqueur impossible à supprimer

La question qui agite désormais les communautés tech n'est pas de savoir si Stokes méritait d'être arrêté – personne ne le conteste. C'est de comprendre ce que signifie l'existence d'un tel identifiant pour les utilisateurs ordinaires. Un identifiant persistant lié à un historique d'adresses IP et susceptible d'être communiqué dans le cadre d'une enquête judiciaire, c'est une carte de continuité que les utilisateurs ne savaient pas porter.

Tenter de supprimer la clé de registre correspondante ne sert à rien, et les tests le confirment sans ambiguïté. Sur une machine sous Windows 11 Pro, supprimer manuellement la valeur dans le registre et redémarrer le service associé semble fonctionner – jusqu'à ce qu'on ouvre le Microsoft Store pendant deux secondes. Le même identifiant réapparaît immédiatement, à l'identique. Il ne vit pas sur le disque dur : il vit sur les serveurs de Microsoft, et le PC ne fait que le télécharger à nouveau à chaque reconnexion. Supprimer le cache local ne fait que déclencher une resynchronisation.

Désactiver le service de télémétrie DiagTrack, souvent recommandé dans les guides de confidentialité, ne résout pas non plus le problème. Ce service gère la télémétrie optionnelle de diagnostic, mais le GDID est transmis via des canaux distincts liés à l'activation Windows, au Microsoft Store et aux services d'identité – des composants qui continuent de fonctionner indépendamment.

Installer Windows sans compte Microsoft coupe une partie de la laisse et empêche la création d'un GDID lié à une identité de compte. Désactiver la télémétrie facultative limite les autres fuites de données. Mais ces deux mesures combinées ne suppriment pas un GDID déjà existant sur une machine préalablement configurée avec un compte Microsoft. Bloquer complètement le provisionnement du GDID perturbe par ailleurs l'activation de Windows et le bon fonctionnement des applications du Microsoft Store – ce qui rend la désactivation totale incompatible avec un usage normal du système.

La seule alternative réellement étanche, pour ceux que la question préoccupe sérieusement, est d'utiliser un système d'exploitation open source comme Linux, éventuellement via le réseau Tor. Ce qui, pour l'immense majorité des utilisateurs de Windows, reste une option théorique. Microsoft n'a annoncé aucune intention de fournir des contrôles utilisateur sur le GDID, ni d'en élargir la documentation publique. Pour l'heure, le seul endroit où le terme apparaît dans la documentation officielle est une note technique enfouie dans les pages Azure Monitor : des lignes discrètes que personne, ou presque, ne lit jamais.