SOSPC

Un identifiant persistant et unique découvert sur Windows, par Charly

Une news bien fraîche avant les vacances

Nous disposons d'outils, de réglages et du choix des services  et de logiciels pour minimiser tout le tracking imposé par Microsoft.

Bien sûr il ne s'agit pas d'être anonyme, mais simplement de minimiser tout ce pistage organisé. 

Pendant ma veille informatique je suis tombé sur une pépite qui ne m'a finalement que moyennement étonné, voyez plutôt.

Un jeune américain de 19 ans a été accusé de faire partie d'une bande de Hackers (Scattered Spider).

Celui-ci utilisait une palanquée de logiciels pour passer inaperçu, dont des VPN, le garçon utilisait des IP différentes à chaque fois et pour chaque service, etc.

Malgré toutes les protections pour brouiller les pistes et le rendre "transparent", le FBI a débarqué chez lui un beau matin de juillet…

Comment ?

Hé bien c'est Microsoft le mouchard, à l'aide d'un identifiant unique et personnel planqué dans Windows et sur chaque machine, le GDID (Global Device Identifier).

Cet identifiant vous est attribué lors de l'installation de Windows. 

Vous n'avez rien demandé, vous ne l'avez jamais vu, il ne bouge jamais même en utilisant un VPN et c'est normal : un VPN filtre votre réseau, mais pour ce qui sort de Windows c'est une autre paire de manche.

Je me demande encore comment ce pirate n'y a pas pensé, en plus sous Windows, c'est aberrant…

***

À quoi cet identifiant doit-il servir normalement ?

 

Evidemment à la télémétrie, aux rapport de plantages, vérification des licences, etc. 

Mais pas que, la preuve : ce traceur est unique et concerne uniquement votre machine et il est indéboulonnable ! cr  

La plainte a fuité début juillet et c'est Microsoft qui a fourni au FBI toutes les adresses IP rattachées à ce GDID.

En croisant ces adresses avec les différents comptes utilisés (gaming, réseaux sociaux, etc.), le FBI est remonté rapidement jusqu'à lui. https://www.inkl.com/news/windows-11-identifier-code-used-to-track-scattered-spider-perp-after-microsoft-shared-info-with-fbi-19-year-old-us-estonian-hacker-arrested-over-alleged-ties-to-infamous-extortion-group

Bien sûr je ne pleure pas sur ce jeune escroc, mais je déplore (et je m'en suis toujours douté à vrai dire), que nous ayons tous un identifiant unique déposé à notre insu.

Le géant de Redmond n'a jamais communiqué dessus bien évidemment et nous sommes quelques millions/milliards à l'avoir.

Avec l'avènement d'Utik dont je vous ai parlé récemment, du vote récent de prolongation du Chat Control Européen, du re-Captcha de Google, etc. nous voilà bien. 

Personnellement sur mes quatre PC perso, deux machines sont sous Linux depuis des lustres et le resteront encore longtemps, très longtemps…

***

L'optimisation, la maigre consolation

 

Comme nous allons le voir ci-après, cet identifiant est impossible à supprimer, nous ne pouvons que réduire fortement cette télémétrie.

Une installation de Windows sans compte lié est un sacré plus, la désactivation d'un max de télémétrie avec l'aide (ou pas), de certains softs (réglages de l'OS), utilisation de services éthiques (VPN, Cloud, etc.), 

Mais rien n'enlèvera ce mouchard définitivement…

Certains amis Tech's de chez LDLC m'ont suggéré de virer l'intrus via le Registre Windows.

Bonne idée, mais cela ne sert à rien les amis, Microsoft le retélécharge depuis leurs serveurs (l'ancien est stocké chez eux et vous sera réattribué), et ce dès l'ouverture du Store par exemple ou d'une session, d'où l'intérêt de ne pas utiliser ces services dont on se passe très bien d'ailleurs.

Gardez à l'esprit que tout ceci est pensé pour rendre caduque le suivi et non de supprimer la chose.

Je suis en train de chercher, d'étudier le soucis de plus près : mon premier raisonnement a été de penser à bloquer les serveurs qui servent à ce suivi, via le fichier HOST de Windows par exemple. 

Cet étron n'est pas sur votre carte mère, ni un truc relié à votre matériel, votre identifiant se trouve sur les serveurs de Microsoft et vous colle aux basques dès que vous ouvrez votre session.

Il est écrit également dans votre registre et votre PC l'enregistre dans un annuaire chez Microsoft. 

Voulez-vous voir votre étron ? 

Ouvrez votre PowerShell et copiez-collez les deux commandes suivantes (en terminant à chaque commande avec la touche Entrée de votre clavier) :

$lid=(Get-ItemProperty 'HKCU:\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties').LID

"g:$([Convert]::ToUInt64($lid,16))"

  • Chez moi ça donne ceci (j'ai masqué les derniers chiffres), super j'ai mon petit numéro perso ! J'ajoute que sur ce PC je n'utilise aucun services GAFAM, le Store est absent, la télémétrie est extrêmement réduite au possible, la seule chose de Microsoft sur ce PC est le Système (allégé/optimisé)?, c'est dire l'ampleur de la tâche pour tenter une suppression totale et définitive…

J'ai glané aussi la clef de registre à supprimer sur un site US, mais si vous ouvrez le Store une seconde ou encore un compte relié à Microsoft, votre numéro réapparait, pas un nouveau comme vous pouvez le penser, mais l'ancien ! Microsoft a bien votre identifiant originel… 

  • Emplacement probable de la clé utilisée :

HKCU:\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties

Ou encore ici : HKEY_USERS\.DEFAULT\Software\Microsoft\IdentityCRL

(Selon l'OS ou la version utilisée le chemin peut être différent), inutile aussi de chercher dans un recoin de votre SSD, ne vous fatiguez pas, votre identifiant est bien caché chez Microsoft, inutile également d'effectuer la suppression de cette clé, si vous la trouvez…

***

Ils ont pensé à tout

 

Je pense qu'il va être très ardu, voire impossible, d'éradiquer ce nouveau mouchard.

Microsoft a pensé à tout, le service qui fait remonter ce GDID refuse de se laisser désactiver et ce même en mode Admin ! mur  

Certains utilisent un script long comme le bras pour ce faire, mais ce n'est pas sans danger, car ces Scripts inclus également des services Système importants, bref, c'est risqué…

Une autre soluce bien qu'incomplète serait apparemment de couper le sifflet d'un processus précis avec un logiciel précis, par exemple avec : https://autoclose.net/procnetblocker.html

Plus facile à prendre en main que le Firewall de Windows, celui-ci peut bloquer l'accès à n'importe quel processus sans avoir besoin de se prendre la tête avec des règles à rallonge (attention, celui-ci s'utilise en ligne de commandes).

Dispo de Windows 7 à 11. 

Quelques exemples :

Pour bloquer un exe de façon permanente : procnetblocker.exe --block "C:\Chemin\Vers\MonApp.exe" --exe

Vérif du statut d'un blocage : procnetblocker.exe --status "C:\Chemin\Vers\MonApp.exe" --exe

Débloquer votre réseaux (on sait jamais) : procnetblocker.exe --unblock 1234

Pour en savoir plus un tuto est dispo (en anglais) https://autoclose.net/tutorial.html

***

Le mot de la fin

 

Ici nul besoin de verser dans la paranoïa, je fais simplement un constat factuel et les conclusions que j'en ai tirées.

Rien ne m'a vraiment convaincu (pour le moment), mais certains s'attèlent déjà à travailler sur un soft pour éradiquer ce redoutable trackeur.

Patience, je demande à voir quand même.

De mon petit avis et si cela s'avère possible dans un avenir proche, la solution sera vraisemblablement lors de l'installation ou la réinstallation de l'OS.

Ce petit billet n'a pas été fait pour vous donner une solution fiable, mais pour information, rien pour le moment ne supprime définitivement cette chose et surtout sans danger pour votre OS. 

Si vous avez une idée, une piste efficace sans danger merci de la partager.

J'ai vu aussi un script trainer sur le Web je ne sais plus ou, (GitLab ? Pastebin ? Mastodon ?), ça m'apprendra à traîner partout ;-)

J'ai jeté un œil dessus et pas convaincu, de plus son code source n'est pas disponible et ça c'est plutôt équivoque. 

Ce script désactive en effet certains services intégrés important mais le Système peut alors planter, le GDID stocké chez Microsoft n'est pas effacé pour autant, le script empêche la retransmission il est vrai, mais n'agit pas rétroactivement, il est donc urgent d'attendre.

Si vous voulez tenter l'expérience et si vous retrouvez ce script, un conseil : faîtes le dans une machine virtuelle (VM).

Toutes les manips que nous pouvons faire réduisent très fortement cette télémétrie, mais ne la supprime pas, n'efface pas cet identifiant unique qui nous colle aux basques. 

Ce GDID est en 64bits et impossible à supprimer totalement même si vous l'enlevez du registre : il sera régénéré automatiquement et le compte local n'est qu'un leurre à ce niveau.

Justement, le compte Local est un sacré plus pour préserver notre vie privée bien sûr, mais concernant cet identifiant il est là lui aussi simplement inutile.

Nous ne pouvons que réduire les dégâts en optimisant notre Système dans les moindres recoins et en utilisant des services éthiques (Cloud, IA, services, softs, etc.).

J'ai noté aussi sur cette singularité : sur un ancien Windows optimisé (8.1), débarrassé de tout superflu et avec un compte local d'origine ce GDID est absent du registre, sur Windows 10/11 il est présent, pourquoi ? :scratch:  

Le GDID sur ces OS est lié à l'installation et non au type de compte. 

Microsoft ne documente pas officiellement le GDID car il est conçu pour ses infrastructures Cloud et non pour les utilisateurs.

C'est pourquoi les chemins précis du registre que je vous donne plus haut peuvent varier selon les versions de la build de votre Windows 10/11.

Cet identifiant fait remonter une quantité d'infos concernant le Système, mais il peut aussi servir aux autorités, certains remettront sur le tapis le fameux Big Brother, je vous laisse seul juge…

La seule véritable solution à ce niveau est de passer à Linux et je suis désolé de le dire pour les aficionados des services Microsoft.

Aucune distribution Linux n'envoie ce type de télémétrie, ne conserve ce genre de chose, ce GDID ou un truc similaire sous Linux n'existe tout simplement pas, à bon entendeur…

Belle journée et bonnes vacances, au frais…

Charly

Charly

https://micropart.weebly.com/

Charly

83 article(s) publié(s)
Examiné par

Archives

9
0
N'hésitez pas à laisser un commentaire !x