Un hacker de Scattered Spider a été arrêté en Finlande, puis extradé vers les États-Unis. Selon le FBI, un VPN masquait son adresse IP, mais un identifiant Windows aurait permis de rattacher l’activité à son PC.

Malgré son VPN, un membre présumé de Scattered Spider arrêté par le FBI à cause d'un identifiant Windows. © ArtemisDiana / Shutterstock
Malgré son VPN, un membre présumé de Scattered Spider arrêté par le FBI à cause d'un identifiant Windows. © ArtemisDiana / Shutterstock

Peter Stokes, 19 ans, alias « Bouquet », « Spencer » ou « Jordan », est accusé par la justice américaine d’avoir participé aux activités de Scattered Spider, un groupe déjà associé à des intrusions contre de grandes entreprises, des vols de données et des extorsions. Arrêté en Finlande en avril 2026, puis extradé vers les États-Unis, il aurait été relié à une attaque contre une entreprise de luxe grâce à une série de recoupements techniques. Parmi eux, un élément moins connu que les adresses IP ou les portefeuilles crypto : le GDID, un identifiant lié à Windows.

Une stratégie de recoupement payante malgré le VPN

Pour comprendre ce qui s’est passé, il faut remonter à mai 2025. Une entreprise de luxe est ciblée par une opération attribuée à Scattered Spider. Les attaquants se font passer pour des employés auprès du support informatique, obtiennent la réinitialisation d’identifiants et de facteurs d’authentification, puis s’emparent de plusieurs comptes internes, dont des accès à privilèges.

Une fois entrés, les cybercriminels cherchent logiquement à garder un pied dans l’environnement compromis. Ils s’appuient pour cela sur ngrok, un outil d’ordinaire légitime qui permet de créer un tunnel vers une machine distante, et dont l’usage laisse des traces exploitables dans les journaux des équipements attaqués.

Ces données permettent aux enquêteurs de remonter jusqu’au compte ngrok utilisé pendant l’intrusion, a priori créé depuis une adresse IP associée à un VPN ou à un proxy. La piste réseau directe est donc brouillée, mais l’analyse des logs livre tout de même deux éléments de poids : un jeton d’authentification rattaché au compte ngrok et des connexions horodatées.

Or, en recoupant ces informations avec celles obtenues auprès de Microsoft, les enquêteurs constatent qu’à la minute même où le compte est créé, un appareil Windows doté d’un identifiant unique consulte la page d’inscription du service. Le même marqueur apparaît ensuite dans l’activité liée au proxy utilisé pour créer ce compte. Cet identifiant, c’est le GDID, pour Global Device Identifier.

Le GDID, le mouchard Windows que le VPN ne masque pas

Le GDID n’est ni une adresse IP, ni un cookie, ni un nom d’ordinateur. C’est un identifiant rattaché à une installation de Windows, sur une machine physique ou virtuelle, utilisé pour reconnaître un même environnement système au fil du temps.

En temps normal, ce type de balise sert à relier des événements techniques à un appareil : updates, diagnostics, plantages, compatibilité, détection d’anomalies ou d’abus. Il peut survivre aux mises à jour du système, mais change après une réinstallation.

C’est ce qui le rend précieux dans une enquête d’attribution. Une adresse IP indique par où transite une connexion ; un GDID peut aider à reconnaître le PC Windows utilisé derrière. Dans l’affaire Peter Stokes, ce marqueur aurait ensuite été rapproché d’autres comptes, connexions et lieux associés au suspect, jusqu’à réduire l’intérêt du VPN à ce qu’il protège vraiment : la route réseau, pas l’identité technique de l’appareil.

Quel est le meilleur VPN en juillet 2026 ?
À découvrir
Quel est le meilleur VPN en juillet 2026 ?
Comparatifs services