IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft livre au FBI l'identifiant unique GDID de Windows 11 pour faciliter l'arrestation d'un adolescent de 19 ans soupçonné d'une série d'attaques par rançongiciels

Le , par Patrick Ruiz

461PARTAGES

5  0 
Microsoft livre au FBI l’empreinte numérique nécessaire à l’arrestation d'un adolescent soupçonné d'une série d'attaques par rançongiciels
Un rappel brutal de son implication dans la surveillance de masse

Un membre présumé du groupe criminel dénommé « Scattered Spider » a été arrêté en Finlande puis extradé vers les États-Unis où il doit répondre d'accusations fédérales de complot criminel devant le tribunal du district nord de l'Illinois. Son arrestation est le fruit d’une collaboration entre Microsoft et les autorités du système judiciaire américain (DoJ et FBI). L’éditeur de Windows 11 s’est chargé de livrer au FBI l’empreinte numérique nécessaire à l’atteinte de cet objectif. D’avis de certains utilisateurs, c’est un brutal rappel de l’implication de Microsoft dans des activités de surveillance de masse.

Le ministère américain de la Justice (DOJ) a annoncé que Peter Stokes, âgé de 19 ans, détenteur d’une double nationalité américaine et estonienne et membre présumé du groupe de cybercriminels « Scattered Spider », a été extradé de Finlande et inculpé dans le district nord de l’Illinois pour association de malfaiteurs, intrusion informatique et fraude.

Le groupe aurait encaissé plus de 100 millions de dollars de rançons à la suite de plus de 100 intrusions. Le seul fait qui lui est reproché dans l’acte d’accusation est une intrusion commise en mai 2025 chez un joaillier de luxe, pour laquelle une rançon de 8 millions de dollars avait été exigée mais n’a pas été versée.

Stokes se retrouve devant les tribunaux américains grâce à la coopération internationale, en l’occurrence avec le Bureau national d’enquête finlandais et une notice rouge d’Interpol. Cette affaire s’inscrit dans le cadre de l’opération Riptide, la campagne du FBI qui, selon le Bureau, vise à répondre aux plus de 20 milliards de dollars de pertes liées à la cybercriminalité signalées aux États-Unis l’année dernière.

Microsoft a fourni l’empreinte numérique (l'identifiant unique GDID de Windows 11) nécessaire à l’arrestation de l’adolescent soupçonné d’une série d’attaques par rançongiciels

Cela a été possible en raison de ce que Peter Stokes faisait usage d’un ordinateur tournant sous Windows 11. L’équipe constitué d’éléments de Microsoft et du FBI s’est donc appuyée sur le Global Device Identifier (GDID) de Windows qui est un code d'identification unique attribué par le géant technologique à une installation spécifique du système d'exploitation. Contrairement aux composants physiques, cet identifiant logiciel (qui agit comme une empreinte numérique) permet de lier une machine aux services cloud et à la télémétrie Microsoft.

L’équipe constitué d’éléments de Microsoft et du FBI a obtenu le GDID à partir de l'ordinateur du présumé criminel qui a servi à créer un compte sur l'outil de piratage ngrok. Bien que le compte ait été créé à partir d'une adresse IP VPN se terminant par .168, les registres de Microsoft indiquent que ce même GDID (6755467234350028) a accédé à la page d'inscription de ngrok exactement au moment où le compte a été créé, ce qui a permis d'établir un lien entre ce piratage et ses comptes personnels sur les réseaux sociaux.

Les enquêteurs ont utilisé ce GDID pour suivre et recouper toutes les informations de télémétrie associées à cet appareil en particulier. En établissant des corrélations entre le GDID et les adresses IP, les connexions à des comptes personnels (tels que Facebook ou Snapchat) et d’autres données relatives à l’activité sur Internet, le FBI a pu constituer une solide chaîne de preuves reliant directement le suspect aux activités criminelles.

D’avis d’utilisateurs, c’est un rappel brutal de l’implication de Microsoft dans des activités de surveillance de masse et ce, dans un contexte où les législateurs souhaitent étendre cette emprise en imposant la vérification d’âge à tous les systèmes d’exploitation, Linux y compris

Déposé le 13 avril 2026, H.R. 8250 a été introduit par le représentant démocrate Josh Gottheimer (New Jersey) et la républicaine Elise Stefanik (New York), et renvoyé à la commission de l'énergie et du commerce de la Chambre. Le texte officiel du projet n'était pas encore rendu public au moment de sa présentation, ce qui n'a pas empêché une couverture immédiate et des réactions en cascade dans la communauté technique.

Gottheimer a présenté cette initiative sous le nom de « Parents Decide Act », la décrivant comme une législation bipartisane de bon sens destinée à renforcer les protections en ligne pour les enfants et à donner aux parents un plus grand contrôle sur ce à quoi leurs enfants accèdent depuis leurs téléphones, tablettes et autres appareils. Parmi les mesures annoncées : obliger les développeurs d'OS à vérifier l'âge des utilisateurs lors de la configuration d'un appareil, permettre aux parents de fixer des contrôles de contenu adaptés à l'âge depuis le départ, et s'assurer que ces paramètres circulent de façon sécurisée vers les applications et plateformes d'intelligence artificielle.

Gottheimer a également souligné que les enfants peuvent actuellement contourner les restrictions en saisissant simplement une fausse date de naissance pour accéder à des applications qui ne leur sont pas destinées, comme TikTok ou YouTube avant leur treizième anniversaire.

H.R. 8250 ne surgit pas du vide. Il s'inscrit dans une tendance législative émergente : le Colorado a adopté SB26-051, qui oblige les OS à collecter des informations sur l'âge lors de la configuration des comptes et à fournir des signaux relatifs à l'âge aux applications. La Californie, quant à elle, a adopté AB 1043, qui impose des systèmes de segmentation par tranche d'âge aux systèmes d'exploitation et aux boutiques d'applications, avec une entrée en vigueur prévue en janvier 2027.

En 2025, la moitié des États américains ont rendu la vérification d'âge obligatoire pour accéder à des contenus pour adultes ou à des plateformes de réseaux sociaux, et neuf États ont vu leurs lois entrer en vigueur au cours de la seule année 2025, avec d'autres à venir en 2026.

H.R. 8250 franchit une étape supplémentaire : là où les lois étatiques créaient des mosaïques d'obligations complexes pour les entreprises opérant dans plusieurs États, un texte fédéral pourrait établir un cadre unifié au niveau national. Bien que le projet en soit à ses débuts et qu'il puisse être modifié ou ne jamais aboutir, son dépôt signale que la pression en faveur de la vérification d'âge a désormais atteint le Congrès et cible directement les systèmes d'exploitation.


Concrètement, le dispositif envisagé fonctionne ainsi : les applications et sites web interrogeraient le système d'exploitation pour obtenir des informations sur la tranche d'âge de l'utilisateur courant. En l'absence de signal d'âge fourni par l'OS, les applications basculent automatiquement vers les paramètres les plus restrictifs, traitant l'utilisateur comme un enfant quel que soit son âge réel.

System76, un fabricant spécialisé dans les machines Linux, a averti que les distributions Linux qui ne fournissent pas de signal de tranche d'âge produiront un internet bridé. Les petites distributions open source, qui ne disposent pas des ressources des grands éditeurs, se retrouveraient face à des charges de mise en conformité potentiellement insurmontables et exposées à des amendes pouvant atteindre 7500 dollars par infraction.

Cette architecture soulève une question technique fondamentale : qu'est-ce qu'un « fournisseur de système d'exploitation » au sens de la loi ? S'agit-il uniquement d'Apple, Microsoft ou Google ? Ou bien d'un mainteneur bénévole d'une distribution Debian ? La réponse conditionnera entièrement la portée pratique du texte.

Source : DoJ (communiqué de presse)

Et vous ?

Partagez-vous les avis selon lesquels cette affaire illustre beaucoup plus le degré de surveillance de masse auquel nous sommes exposés en tant qu’utilisateurs de Windows ?
Partagez-vous les avis selon lesquels ce cas n'apporte rien de nouveau quant à l'implication de Microsoft dans des activités de surveillance de masse et que ce qui est plutôt étonnant est que les utilisateurs n'aient pas encore migré en masse vers des solutions comme Linux qui offrent de meilleures garanties de protection de leurs données ?
Pour ou contre la vérification d'âge au niveau du système d'exploitation ?

Voir aussi :

L'application de vérification de l'âge de l'UE fait l'objet de critiques en raison de sa dépendance à Google, l'utilisation de l'API Play Integrity soulève un débat sur la souveraineté numérique de l'UE

Le groupe qui milite en faveur de l'obligation de vérification de l'âge pour l'IA s'avère être discrètement soutenu par OpenAI, qui est à l'origine de la coalition « Parents & Kids Safe AI »

Google utilisera l'apprentissage automatique pour estimer l'âge d'un utilisateur à partir de son historique de navigation et d'autres données, mais ces informations peuvent ne pas refléter son âge réel
Vous avez lu gratuitement 20 260 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de archqt
Membre émérite https://www.developpez.com
Le 06/07/2026 à 21:53
On va rentrer dans une ère de méga flicage...Et comment faire pour GNU Linux ??
Il faudra que la distribution soit certifiée ? Et quid à chaque version du noyau ?
0  0 
Avatar de Patrick Ruiz
Chroniqueur Actualités https://www.developpez.com
Le 07/07/2026 à 3:20
Citation Envoyé par archqt Voir le message
On va rentrer dans une ère de méga flicage...Et comment faire pour GNU Linux ??
Il faudra que la distribution soit certifiée ? Et quid à chaque version du noyau ?
Même pour Linux c'est compliqué si on prend en compte que certains législateurs poussent pour que la vérification dâge soit intégrée au niveau de l'OS
0  0