Faille de sécurité chez PowerSchool : ce qui est tu
Le monde de l'éducation est sous le choc. PowerSchool, mastodonte américain de l'EdTech qui équipe plus de 18 000 établissements scolaires et gère les données de quelque 60 millions d'élèves aux États-Unis, a confirmé début janvier avoir été victime d'une cyberattaque d'ampleur. Les pirates ont exploité des identifiants compromis pour s'introduire dans le portail d'assistance de l'entreprise, leur ouvrant un accès au système de gestion des informations des écoles, PowerSchool SIS. Un outil crucial qui centralise dossiers scolaires, notes, présences et inscriptions des élèves.
De nombreuses zones d'ombre subsistent
Si PowerSchool a rapidement communiqué sur certains aspects de l'incident, comme l'absence d'authentification multifacteur sur son portail PowerSource au moment des faits, de nombreuses questions restent en suspens. Combien d'écoles et d'élèves sont réellement touchés ? Quelle est l'ampleur exacte de vol de données ? Et surtout, qui sont les cybercriminels derrière cette attaque ?
L'entreprise californienne, rachetée 5,6 milliards de dollars par Bain Capital en 2024, se montre pour le moins évasive. Malgré nos sollicitations répétées, elle se retranche derrière une communication minimale, renvoyant à une page dédiée à l'incident qui n'a pas été mise à jour depuis le 17 janvier. PowerSchool s'était pourtant engagé à partager à cette date un rapport d'enquête réalisé par la société de cybersécurité CrowdStrike, mandatée pour faire la lumière sur cette cyberattaque. Mais selon plusieurs sources au sein d'établissements affectés, ce document très attendu n'a toujours pas été communiqué.
Des données ultra sensibles dérobées
Les écoles touchées décrivent un piratage "massif". Certaines, comme le Toronto District School Board qui scolarise environ 240 000 élèves chaque année, évoquent un vol portant potentiellement sur 40 années de données. En Californie, le district scolaire de Menlo Park a confirmé que les pirates avaient eu accès aux informations de tous ses élèves et personnels actuels, soit environ 2700 élèves et 400 employés, mais aussi aux données remontant jusqu'à l'année scolaire 2009-2010.
PowerSchool a admis que des "informations personnelles sensibles" avaient été dérobées, allant des numéros de sécurité sociale et notes des élèves à leurs données démographiques et médicales. Selon nos informations, parmi ces données ultra-confidentielles figureraient même des informations sur les droits d'accès parentaux, comme des ordonnances restrictives, ou encore des données sur la prise de médicaments de certains élèves. Une fuite particulièrement préoccupante au regard des règles strictes du RGPD sur les données de santé.
PowerSchool a-t-il payé une rançon ?
Pour empêcher la publication des données volées, PowerSchool indique avoir pris les "mesures appropriées", notamment en faisant appel à une société spécialisée dans la négociation avec les cybercriminels. Un aveu à demi-mot sur le paiement probable d'une rançon aux pirates. Mais malgré nos questions insistantes, l'entreprise refuse de confirmer le montant versé ou même exigé initialement par les malfaiteurs.
PowerSchool se veut rassurant, affirmant que les données ont certainement été supprimées sans être répliquées ni diffusées. Pourtant, l'entreprise reste floue sur les preuves tangibles de cette suppression, évoquant de simples "garanties" obtenues. Comme l'a montré le récent démantèlement du gang de rançongiciel Lockbit au Royaume-Uni, le paiement d'une rançon n'offre en réalité aucune certitude sur l'effacement réel des données.
Un manque de transparence préjudiciable
Autre interrogation majeure : qui est derrière cette cyberattaque dévastatrice ? Là encore, PowerSchool cultive le mystère, refusant de donner la moindre information sur l'identité ou le profil des assaillants, malgré les échanges noués avec eux. CyberSteward, l'entreprise canadienne de réponse aux incidents qui a épaulé PowerSchool dans les tractations, n'a pas non plus donné suite à nos demandes de précisions.
Face à toutes ces zones d'ombre, les écoles impactées tentent de faire front commun pour obtenir des réponses et prendre les mesures adéquates. Mais le manque de transparence et de communication de PowerSchool complique singulièrement leur tâche. L'ampleur réelle de cette fuite de données, ses ramifications et ses conséquences pour les élèves et leurs familles risquent de rester longtemps dans le flou. Un constat préoccupant qui souligne la fragilité de nos données les plus intimes à l'ère du tout-numérique.
