Un étudiant universitaire du Massachusetts a reconnu son implication dans une intrusion informatique ayant compromis les données personnelles de millions d’élèves et d’enseignants via la plateforme éducative PowerSchool. Une affaire qui rappelle que la cybersécurité touche tous les secteurs, y compris celui de l’éducation.
Violation de données PowerSchool : un piratage à grande échelle
Le fournisseur de logiciels éducatifs basé à Folsom, en Californie, PowerSchool, a été la cible d’une cyberattaque en décembre 2024. L’incident a entraîné le vol de données sensibles concernant plus de 60 millions d’élèves et 10 millions d’enseignants. L’accès non autorisé a été obtenu en utilisant les identifiants d’un sous-traitant de la société.
Entretien d'embauche : connaissez-vous le test du sel et poivre ?
Lors d’un entretien d’embauche, chaque détail compte, même du sel ou du poivre posé sur la table. On vous explique en quoi ça consiste, et comment le réussir.
Lire l'articleQuelques jours après l’intrusion, PowerSchool a reçu une demande de rançon accompagnée de menaces de diffusion publique des données si une somme de 2,85 millions de dollars en bitcoins n’était pas versée. Face à la pression, PowerSchool a choisi de régler la rançon afin de limiter les dommages potentiels.
Un étudiant au cœur de l’affaire PowerSchool
Le principal mis en cause est Matthew Lane, un étudiant de 19 ans inscrit à l’université Assumption à Worcester. Selon les procureurs, il a transféré les données obtenues vers un serveur situé en Ukraine, loué auprès d’un fournisseur de stockage cloud.
Les autorités ont précisé que cet acte s’inscrivait dans une série de cyberattaques orchestrées avec d’autres individus. Avant le piratage de PowerSchool, le même groupe aurait également extorqué une entreprise de télécommunications, exigeant 200 000 dollars pour éviter la divulgation de données sensibles issues d’une précédente intrusion.
Poursuites pour cybercriminalité et peine encourue
Matthew Lane a accepté de plaider coupable aux chefs d’accusation de chantage informatique, vol aggravé d’identité et accès non autorisé à des systèmes informatiques protégés. Ces infractions fédérales sont sévèrement sanctionnées. Le jeune homme encourt une peine minimale de deux ans de prison.
La justice américaine considère cette affaire comme une étape importante dans l’identification des responsables de la violation ayant affecté PowerSchool. L’enquête a également révélé que plusieurs districts scolaires ont été visés par des tentatives d’extorsion liées aux mêmes données compromises.
Répercussions sur la cybersécurité du secteur éducatif
Avec plus de 18 000 établissements scolaires utilisant ses services, PowerSchool joue un rôle central dans la gestion des systèmes éducatifs aux États-Unis. Cette affaire souligne la vulnérabilité des infrastructures informatiques dans le secteur de l’éducation face aux menaces de plus en plus complexes des cybercriminels.
Suite à cette attaque, de nombreuses écoles ont renforcé leurs systèmes de sécurité. La divulgation de données telles que les numéros de sécurité sociale et les adresses personnelles pose de sérieuses questions sur la gestion des informations sensibles dans les environnements numériques éducatifs.
Les procureurs espèrent que cette procédure judiciaire dissuadera d’autres tentatives similaires et incitera les institutions à revoir leurs protocoles de cybersécurité.