Un récent piratage massif touchant une plateforme éducative met en lumière la vulnérabilité des systèmes scolaires. Plus de 62 millions d’étudiants et 9 millions de professeurs ont vu leurs données personnelles exposées, incluant des informations sensibles. La situation soulève de vives inquiétudes parmi les parents, élèves et éducateurs.
Basé à Folsom, en Californie, PowerSchool dessert 16 000 écoles dans le monde et gère les données de plus de 60 millions d’étudiants. Le 7 janvier, la société a confirmé que des cybercriminels avaient accédé et exfiltré des données personnelles stockées dans son Système d’Information Étudiant.
Les données volées comprennent des numéros de sécurité sociale, des dossiers médicaux et des adresses personnelles. Un rapport de Bleeping Computer a révélé une note d’extorsion des attaquants affirmant qu’ils avaient volé les dossiers de 62,4 millions d’étudiants et 9,5 millions d’enseignants.
Parmi les plus touchés se trouve le Toronto District School Board au Canada, qui a déclaré lundi que les informations de tous les élèves inscrits entre 1985 et 2024 avaient été exposées, ce qui représente 1,4 million d’élèves et plus de 90 000 enseignants. Les données comprenaient des noms, dates de naissance, numéros de carte de santé, adresses personnelles, notes disciplinaires et même statuts de résidence. Le district a noté que l’ampleur de la violation variait selon la période d’inscription mais touchait chaque élève de cette période.
| Nom du district | Étudiants touchés | Enseignants touchés |
|---|---|---|
| Toronto District School Board | 1 484 733 | 90 023 |
| Peel District School Board | 943 082 | 39 693 |
| Dallas Independent School District | 787 212 | 79 718 |
| Calgary Board of Education | 593 518 | 133 677 |
| Memphis-Shelby County School | 485 087 | 54 501 |
| San Diego Unified | 472 278 | Possiblement pas volé |
| Charlotte-Mecklenburg Schools | 467 974 | 57 486 |
| Wake County Public School | 461 005 | 92 783 |
Le Menlo Park City School District de Californie a également signalé des retombées significatives. Tous les étudiants et le personnel actuels, ainsi que toute personne inscrite ou employée depuis l’année scolaire 2009-2010, ont été affectés. Cette violation concerne près de 10 700 étudiants et de nombreux anciens employés.
PowerSchool a déclaré avoir communiqué avec les hackers, qui auraient affirmé qu’ils ne publieraient pas les données, soutenu par une vidéo de sa prétendue suppression. Cependant, les experts avertissent que de telles affirmations sont impossibles à vérifier et que les acteurs menaçants pourraient toujours publier les informations volées sur le dark web. Plusieurs districts scolaires ont inclus ces assurances dans leurs notifications de violation, malgré les affirmations douteuses de suppression des attaquants.
PowerSchool n’a pas confirmé le nombre d’individus touchés ni s’il a payé une rançon. Toutefois, il a commencé à offrir aux personnes concernées un package gratuit de surveillance de crédit d’une durée de deux ans. Cette violation illustre les vulnérabilités des systèmes éducatifs en ligne. Ce ne sont pas seulement les banques, les grandes entreprises et les plateformes de médias sociaux qui sont ciblées par les hackers.