Passer au contenu

Comment un identifiant Windows a permis d’inculper un hacker de 19 ans

Un identifiant unique généré par Windows a permis au FBI de mettre la main sur un hacker de 19 ans, membre du collectif Scattered Spider. Grâce aux données transmises par Microsoft, les enquêteurs ont pu relier des mois d’activité en ligne à un seul ordinateur. Toutes ces données ont permis d’inculper le jeune homme et de l’extrader vers les Etats-Unis.

En 2024, les autorités américaines sont parvenues à découvrir l’identité d’un des membres de Scattered Spider, un gang de pirates spécialisé dans les tentatives d’extorsion contre de grandes entreprises. Le collectif cible en priorité les secteurs de l’hôtellerie, des télécommunications, de l’assurance et de l’aviation, avec des victimes comme Aflac, Allianz Life ou Qantas.

Le pirate a été identifié comme Peter Stokes, un adolescent de 17 ans résidant entre l’Estonie et les Émirats arabes unis. À ce moment-là, les États-Unis ne pouvaient rien faire pour mettre la main sur le jeune hacker. Ils se sont donc contentés de garder un œil dessus.

Un an plus tard, en mai 2025, le gang s’est attaqué à un bijoutier de luxe américain. Les attaquants ont contacté le service d’assistance informatique de l’entreprise en se faisant passer pour des employés. Ils ont réussi à négocier la réinitialisation des mots de passe de plusieurs comptes d’employés. Ils ont ainsi pu infiltrer trois comptes, dont deux disposant de privilèges administrateur, et dérober des données sensibles. Fidèles à leurs habitudes, les cybercriminels ont ensuite réclamé une rançon de huit millions de dollars en cryptomonnaies.

À lire aussi : Microsoft a découvert qu’un ver informatique se propage sur les clés USB

Comment un identifiant Windows a tout changé

C’est cette cyberattaque qui a servi de point de départ à l’enquête fédérale sur Peter Stokes. Sur base des indices laissés derrière eux par les pirates, les enquêteurs ont, de fil en aiguille, pu remonter jusqu’au cybercriminel. L’enquête a surtout progressé grâce à Microsoft. L’éditeur américain a confié aux forces de police le Global Device Identifier, un identifiant unique attribué à chaque installation de Windows, du pirate.

Chaque fois que Windows est installé sur un ordinateur, le système génère automatiquement un identifiant unique, propre à cette machine précise, un peu comme un numéro de série. C’est ce mécanisme qui explique pourquoi le fait de remplacer un composant majeur de son PC peut parfois rendre une licence Windows invalide. Le système considère alors parfois par erreur qu’il s’agit d’un nouvel appareil, car son identifiant a changé.

Grâce à ces données précieuses, les enquêteurs ont pu relier l’activité en ligne, l’historique de jeux vidéo, et les adresses IP à un ordinateur physique bien précis. Ils ont alors combiné des dizaines de traces numériques appartenant au criminel, qui opérait sous le nom de Bouquet. Une montagne d’informations a pu être récupérée. Elles ont permis de mettre sur pied un dossier complet à l’encontre de Peter Stokes, en vue d’une future inculpation. Sans cet identifiant Windows, la justice américaine aurait eu du mal à prouver que le jeune homme était bien impliqué dans les cyberattaques signées Scattered Spider.

À lire aussi : Ce ransomware débranche les antivirus, et l’Europe est en première ligne

Un hacker extradé vers les États-Unis

Armés d’un dossier en béton, les forces de l’ordre ont finalement décidé de mettre la main sur le pirate, désormais âgé de 19 ans. Celui-ci a été arrêté le 10 avril 2026 à l’aéroport d’Helsinki alors qu’il s’apprêtait à embarquer pour Tokyo. Après son arrestation en Finlande, Stokes a été extradé vers les États-Unis. Il a comparu pour la première fois devant un tribunal fédéral de Chicago le 30 juin 2026. Accusé de complot, d’intrusion informatique et de fraude, le pirate est en détention jusqu’à nouvel ordre, en attente de son procès.

Quoi qu’il en soit, ce fait divers illustre à quel point Microsoft accumule des données capables d’identifier précisément un individu derrière son ordinateur. L’affaire pointe aussi du doigt la sensibilité du Global Device Identifier (GDID), qui permet de relier l’historique de navigation, les adresses IP et l’usage d’outils à une seule et même machine. Microsoft détenait ainsi un profil numérique quasi complet de Peter Stokes. En d’autres termes, l’éditeur dispose d’un profil détaillé sur tous les utilisateurs de Windows.

👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.


Florian Bayard