Microsoft l'avoue : votre PC abrite un numéro de traçage impossible à désactiver

Microsoft l'avoue : votre PC abrite un numéro de traçage impossible à désactiver

WindowsVie PrivéeGDIDSécuritéTraçage

Sources:Lobsters + web research · HN

En juillet 2026, le département de la Justice des États-Unis a rendu public un acte d’accusation pénal de 39 pages. Le prévenu, Peter Stokes, 19 ans, est soupçonné d’avoir piraté en mai 2025 un joaillier de luxe américain et demandé une rançon de 8 millions de dollars. Stokes a eu recours à un VPN, à des serveurs mandataires et à des outils de contournement ; ses adresses IP s’étalaient sur quatre pays, dont l’Estonie, New York et la Thaïlande. En temps normal, sur Internet, dès qu’on change d’adresse IP, la piste se rompt.

Mais le FBI l’a tout de même retrouvé. L’élément décisif ? Une suite de chiffres générée automatiquement par Microsoft dans son ordinateur : g:6755467234350028.

Cette suite s’appelle GDID, pour Global Device Identifier — « identifiant d’appareil mondial ». Avant la publication de cet acte d’accusation, l’immense majorité des utilisateurs de Windows n’avaient jamais entendu ce nom. Et Microsoft lui-même n’y fait allusion au grand jour que dans une seule phrase, dissimulée dans la documentation technique d’entreprise d’Azure Monitor.

Illustration conceptuelle du GDID, identifiant d'appareil mondial Windows Illustration : le GDID est un identifiant d’appareil permanent intégré à Windows. Source : Ghacks

Qu’est-ce que c’est : le « numéro d’identité » de votre ordinateur

Pour faire simple : le GDID est un numéro permanent qu’attribue automatiquement Microsoft à votre ordinateur. Au moment où vous installez Windows, ou où vous vous connectez avec un compte Microsoft, ce numéro est généré.

Ce n’est pas un code matériel — le matériel peut être remplacé. Ce n’est pas non plus une adresse IP — l’IP peut changer. C’est une identité que le serveur de Microsoft « délivre » à votre machine ; une fois créée, elle reste attachée au Windows de cet ordinateur pour toujours, au-delà des mises à jour du système comme au-delà des environnements réseau, et persiste.

À quoi ressemble-t-il ? D’ordinaire une suite de chiffres précédée de « g: », par exemple g:6755467234350028, stockée tout au fond du registre de Windows, invisible pour l’utilisateur ordinaire. Il tourne silencieusement en arrière-plan et, à chaque mise à jour de Windows, chaque passage par le Microsoft Store, chaque rapport de données système, il est renvoyé périodiquement aux serveurs de Microsoft.

Si l’idée que ces données « remontent vers les serveurs de Microsoft » vous dérange — c’est normal, vous n’êtes pas le seul.

Son fonctionnement : une chaîne de production que vous ne voyez pas

La génération et le rapport du GDID ressemblent à une chaîne de production entièrement automatisée, à laquelle l’utilisateur ne peut rien changer.

Première étape : lorsque vous vous connectez à Windows avec votre compte Microsoft, un service d’arrière-plan (nommé wlidsvc) contacte automatiquement le serveur de connexion de Microsoft, login.live.com, pour demander un identifiant propre à l’appareil. C’est le serveur de Microsoft qui « délivre » ce numéro et le glisse dans votre ordinateur.

Deuxième étape : le numéro est écrit dans le registre de Windows — à un emplacement intitulé HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties. Comme un classeur enfoui dans les tréfonds du système, en apparence on ne voit rien.

Troisième étape : plusieurs services d’arrière-plan de Windows lisent ce numéro. Des fonctions de votre quotidien comme « Connexion au téléphone », « Presse-papiers cloud » ou « Partage à proximité » y ont toutes recours. Ces services enregistrent le numéro dans le « service d’annuaire d’appareils » de Microsoft, formant une cartographie complète de l’identité de la machine.

Quatrième étape, la plus critique : la fonction « Optimisation de la distribution » de Windows — celle qui vous aide à télécharger rapidement les mises à jour depuis d’autres ordinateurs du réseau local —, à chacune de ses exécutions, remonte le numéro GDID accompagné de votre adresse IP et d’un horodatage vers les serveurs de Microsoft.

En d’autres termes, Microsoft sait non seulement que vous possédez ce numéro, mais encore à quelle heure et avec quelle adresse IP il a été utilisé. Reliées entre elles, ces informations composent une chronologie complète de l’activité de l’appareil.

Comment le FBI s’en est servi pour arrêter quelqu’un

Stokes se croyait malin. VPN pour masquer sa véritable IP, serveurs mandataires pour relayer le trafic, et même changement d’identité réseau d’un pays à l’autre. Mais il a oublié une chose : quel que soit le changement d’IP, le système Windows de son ordinateur, lui, n’a pas changé.

Selon l’acte d’accusation, la démarche du FBI se déploie grosso modo ainsi :

D’abord, le site du joaillier victime a enregistré l’adresse IP de l’attaquant — une IP relevant d’un fournisseur VPN nommé Tzulo. Parallèlement, les enquêteurs ont découvert que l’attaquant avait ouvert un compte sur ngrok (un outil de tunnel réseau) pour ses opérations. Les heures d’inscription et les adresses IP correspondent.

Ensuite, le FBI a demandé les données à Microsoft : à ce moment-là, pour cet appareil utilisant cette IP, quel était le numéro GDID ? Réponse : g:6755467234350028.

Puis le FBI a procédé à la requête inverse : quelles adresses IP ce numéro GDID a-t-il aussi utilisées ? Les registres de Microsoft montrent que ce même GDID a, sur huit mois, surgi en Estonie, à New York, en Thaïlande et en d’autres lieux, chaque fois via un nœud VPN différent.

Dernière étape : le FBI a recoupé ces adresses IP avec les journaux de connexion de Stokes sur Snapchat, Facebook, son compte Apple et sa plateforme de jeux Ubisoft — heures et lieux coïncidaient. Ses photos publiques sur Snapchat épousaient au millimètre la chronologie de voyage consignée par le GDID.

En avril 2026, Stokes a été intercepté par la police finlandaise à l’aéroport d’Helsinki alors qu’il s’apprêtait à s’envoler pour le Japon. Le mandat d’arrêt rouge d’Interpol l’a privé de ce vol.

Comment le FBI a pisté le suspect via le GDID Illustration : le FBI a utilisé le GDID pour remonter à travers VPN et plusieurs pays jusqu’au suspect. Source : WindowsLatest

Pourquoi cette affaire dérange

L’existence du GDID suscite la controverse pour une raison centrale : vous ne pouvez pas le désactiver.

L’identifiant publicitaire de l’iPhone, l’utilisateur peut le réinitialiser. Android offre des options de contrôle similaires. Apple va jusqu’à exiger qu’une application sollicite l’accord par fenêtre avant de suivre l’utilisateur — cette fameuse invite « Autoriser l’application à vous suivre ».

Le GDID, lui, n’a rien de tout cela. Pas de fenêtre demandant votre consentement. Pas d’interrupteur pour le couper. Pas de bouton pour le réinitialiser. Le chercheur en sécurité Matthew Hickey, commentant l’affaire, n’a pas hésité : Windows est « un logiciel de surveillance ».

Ce qui gêne davantage encore, c’est la transparence. La description publique que Microsoft fait de ce numéro tient, dans toute la documentation d’Azure Monitor, en une seule phrase : « Microsoft Global Device Identifier. This is an identifier used internally by Microsoft. » Une phrase, une poignée de mots anglais. Quant à la manière dont il est généré, transmis, conservé, ou à qui y accède — aucune indication.

Des chercheurs en sécurité indépendants ont dû recourir à l’ingénierie inverse pour comprendre le fonctionnement du GDID. Ils ont découvert qu’en bloquant de force sa génération, l’activation de Windows se détraque et les applications du Microsoft Store deviennent inutilisables. Le GDID est si profondément lié aux fonctions de base de Windows qu’on ne peut l’arracher isolément.

Un autre détail mérite attention : dans une note de bas de page de l’acte d’accusation, Microsoft reconnaît qu’un compte Microsoft peut être associé à plusieurs GDID. Autrement dit, même si vous réinstallez le système et obtenez un nouveau numéro, Microsoft peut toujours, via votre compte, votre espace OneDrive ou vos registres d’activation, rattacher les anciens et les nouveaux numéros entre eux.

Les positions en présence : pas de réponse unique

L’affaire ne se réduit pas à un bien ou un mal. Selon l’angle, le tableau diffère totalement.

Du point de vue des forces de l’ordre, le GDID est un puissant outil de preuve. Dans le cas de Stokes, sans cette ancre de traçage capable de franchir les VPN, l’enquête se serait sans doute enlisée dans une pile d’adresses IP sans lien entre elles. Le GDID permet aux autorités de percer la couche d’anonymat réseau et de relier un acte criminel à un appareil précis. Pour ceux qui se dissimulent derrière la technique, c’est un contrepoids efficace.

Du point de vue de la protection de la vie privée, un identifiant d’appareil permanent, impossible à désactiver et dispensé du consentement de l’utilisateur, constitue en tout état de cause un signal d’alarme de conception. Son problème : « en théorie, il peut servir à n’importe quelle fin ». Aujourd’hui l’enquête criminelle du FBI, demain quoi ? Un réseau publicitaire ? Une compagnie d’assurance ? Une surveillance politique ? Un système qui, dès sa conception, ménage une telle capacité de traçage, ne sera pas éternellement aux mains des « bons ».

Du point de vue de Microsoft, l’objectif premier du GDID n’était pas de suivre l’utilisateur — il sert surtout à gérer les licences logicielles, à maintenir le bon fonctionnement du Microsoft Store et à soutenir les fonctions de collaboration multi-appareils. Mais le problème est que, une fois créé, ce type d’identifiant « d’infrastructure » se trouve intégré à trop de composants système ; le retirer reviendrait à réécrire l’architecture même de Windows.

Dans les discussions de la communauté technique Lobsters, un commentaire est remonté à plusieurs reprises : « Si cette affaire ne sensibilise pas davantage de monde, la prochaine fois ce ne sera plus un hacker qu’on arrêtera. » D’autres ont dit : « La vraie solution, c’est de changer de système d’exploitation. » Mais changer de système d’exploitation n’est pas une décision que 1,6 milliard d’utilisateurs de Windows prennent à la légère.

Paramètres de confidentialité et de sécurité de Windows 11 Illustration : dans les paramètres de confidentialité de Windows 11, aucune option de contrôle du GDID n’est trouvable. Source : WindowsLatest

Que pouvez-vous faire

Soyons francs : pour l’utilisateur déjà enraciné dans l’écosystème Microsoft, la marge de manœuvre est assez étroite. Voici, dans l’état actuel, quelques gestes qui peuvent réduire le risque :

Premièrement, privilégiez un compte local plutôt qu’un compte Microsoft. Windows 11, dans ses toutes dernières versions, a resserré l’accès à la création d’un compte local, mais il reste possible, lors de l’installation, de sauter l’étape de connexion réseau, ou de trouver dans les paramètres l’option « Basculer vers un compte local ». La génération du GDID est profondément liée au compte Microsoft ; utiliser un compte local est un moyen de s’en isoler indirectement.

Deuxièmement, coupez les rapports de données de diagnostic non essentiels. Le chemin : Paramètres → Confidentialité et sécurité → Diagnostics et commentaires → désactiver les « Données de diagnostic facultatives ». Cela ne fera pas disparaître le GDID, mais réduira les autres informations remontées en même temps que lui.

Troisièmement, désactivez la publicité personnalisée et le suivi au démarrage. Dans « Confidentialité et sécurité » → « Recommandations et offres », désactivez toutes les options. Dans « Autorisations de recherche », coupez la « Recherche de contenu cloud » pour éviter que vos recherches locales ne soient envoyées aux serveurs de Microsoft.

Quatrièmement, passez régulièrement en revue l’historique d’activité. Dans les paramètres de confidentialité, vérifiez l’« Historique d’activité » et coupez les options de synchronisation superflues. Cela n’atteint pas le GDID lui-même, mais réduit les chances que vos données comportementales soient reliées entre elles au sein de l’écosystème Microsoft.

Cinquième point, peut-être un peu radical, mais qui mérite d’être signalé : si vous tenez à la vie privée et que vous acceptez un certain coût d’apprentissage technique, basculer vers un système d’exploitation dépourvu de tels mécanismes de traçage intégrés (certaines distributions Linux, par exemple) est une orientation à long terme envisageable. Ce n’est pas un conseil valable en toute circonstance — il ne convient pas à tout le monde ni à toutes les situations. Mais c’est bel et bien une option qui existe.

Une question plus vaste

L’affaire du GDID dépasse « une énième dépêche technologique » parce qu’elle touche à une contradiction de plus en plus vive : quand votre système d’exploitation est aussi votre fournisseur de services, à qui sa loyauté doit-elle aller ?

Windows n’est depuis longtemps plus un simple système sur votre disque dur. Il est relié au cloud de Microsoft, à son système de comptes, à son Microsoft Store, à son assistant IA. Son modèle économique glisse du « vente de logiciels » vers la « vente de services » — et dans le monde des services, les données utilisateur sont la monnaie de base.

L’existence du GDID rappelle ceci : à l’ère du cloud et de l’intelligence artificielle, ce « système » le plus profond de votre ordinateur a peut-être cessé d’être un outil neutre. Il est à la fois un capteur, un enregistreur et une ancre d’identité.

Et de quel côté il se range par défaut — à cette question, Microsoft n’a, à ce jour, jamais donné de réponse qui rassure tout le monde.

Liens de référence :

  • Ghacks : Microsoft Confirms Windows GDID Device Identifier That Cannot Be Disabled, Documented in FBI Case Filing
  • PCMag : A Hacker’s Arrest Reveals Microsoft Can Track Users Via a Windows Device ID
  • WindowsLatest : Microsoft admits Windows 11 has a GDID tracker with no off switch
  • Cybernews : Windows telemetry backlash — GDID tracking exposes Scattered Spider hacker
  • Discussion Lobsters (s/agkcmz)