L’entreprise PowerSchool, leader des solutions de gestion scolaire aux États-Unis, vient de révéler avoir été victime d’une cyberattaque d’envergure ayant compromis les données personnelles de plusieurs millions d’élèves et d’enseignants américains.
Une intrusion aux conséquences dévastatrices
D’après les dernières informations obtenues par TechCrunch, les pirates ont réussi à s’infiltrer dans le portail de support client de PowerSchool en décembre dernier en utilisant des identifiants volés. Cette brèche a permis aux attaquants d’accéder à l’intégralité des données historiques stockées dans les systèmes d’information des établissements scolaires touchés.
« Dans notre cas, je confirme qu’ils ont obtenu toutes les données historiques des élèves et des enseignants », témoigne sous couvert d’anonymat un responsable d’un district scolaire affecté.
Les données dérobées comprennent :
- Noms et adresses
- Numéros de sécurité sociale
- Informations médicales
- Dossiers scolaires
- Identifiants de connexion des enseignants
Une ampleur encore sous-estimée
Bien que PowerSchool refuse de communiquer le nombre exact d’établissements touchés, l’impact pourrait être considérable. L’entreprise, qui gère les données de plus de 50 millions d’élèves à travers les États-Unis, n’aurait pas mis en place des protections de base comme l’authentification à deux facteurs sur certains systèmes critiques.
Mark Racine, directeur de RootED Solutions, souligne que même les anciens clients de PowerSchool pourraient être concernés. Certains districts scolaires rapportent un nombre de victimes potentielles 4 à 10 fois supérieur à leurs effectifs actuels, incluant les données d’anciens élèves remontant jusqu’à l’année scolaire 2009-2010.
La porte-parole de PowerSchool, Beth Keebler, affirme que l’entreprise a « pris les mesures appropriées » pour empêcher la publication des données volées et pense que celles-ci ont été supprimées sans autre réplication. Cependant, aucune preuve tangible n’a été fournie pour étayer ces affirmations.
Cette violation massive de données soulève de sérieuses questions sur la sécurité des informations personnelles dans le secteur éducatif. Les établissements scolaires concernés commencent à notifier les victimes, tandis que PowerSchool poursuit son enquête pour identifier précisément les personnes dont les données ont été compromises.
