Le géant américain de l’edtech PowerSchool, qui fournit des logiciels à plus de 18 000 écoles pour gérer quelque 60 millions d’élèves, a confirmé début janvier avoir été victime d’une cyberattaque d’ampleur. Mais au-delà des informations communiquées par l’entreprise, de nombreuses questions restent en suspens sur les réelles conséquences de cette brèche.

Ce que PowerSchool a révélé sur la faille

PowerSchool a indiqué que les pirates ont utilisé des identifiants compromis pour accéder à son portail d’assistance client PowerSource, leur permettant ensuite d’infiltrer son système d’information scolaire PowerSchool SIS. Celui-ci est utilisé par les écoles pour gérer les dossiers des élèves, notes, présences et inscriptions.

L’entreprise a admis que le portail PowerSource ne prenait pas en charge l’authentification multifacteur (MFA) au moment de l’incident, contrairement à PowerSchool. Mais de nombreux points essentiels demeurent flous.

L’ampleur de la brèche encore inconnue

PowerSchool n’a pas précisé combien d’écoles et d’élèves sont touchés, se contentant d’indiquer avoir « identifié les écoles et districts dont les données étaient impliquées ». Pourtant, l’impact pourrait être « massif » selon certains établissements affectés contactés par TechCrunch.

Le conseil scolaire de Toronto, le plus grand du Canada avec environ 240 000 élèves, a ainsi révélé que les pirates ont pu accéder à près de 40 ans de données étudiantes. De même, le district scolaire californien de Menlo Park a confirmé que les informations sur tous ses élèves et personnels actuels (environ 2 700 élèves et 400 employés), ainsi que ceux depuis 2009-2010, ont été exposées.

Des données ultra sensibles dérobées

Si PowerSchool reste muet sur le volume de données volées, il a admis dans une communication à ses clients que les pirates ont subtilisé des « informations personnelles sensibles » sur les élèves et enseignants :

• Numéros de sécurité sociale de certains élèves
• Notes et données démographiques
• Informations médicales

Selon une source au sein d’un district scolaire touché, les données incluent aussi des éléments hautement confidentiels comme les ordonnances restrictives sur les droits parentaux ou les prises de médicaments de certains élèves.

PowerSchool a-t-il payé une rançon aux hackers ?

L’entreprise a dit avoir pris « les mesures appropriées » pour empêcher la publication des données et a travaillé avec une société d’intervention en cas de cyber-extorsion pour négocier avec les pirates. Ce qui confirme quasiment le paiement d’une rançon, sans en préciser le montant.

Quelle preuve de la suppression des données ?

PowerSchool a déclaré « ne pas prévoir que les données soient partagées ou rendues publiques » et « penser qu’elles ont été supprimées sans autre réplication ou diffusion ». Mais n’a fourni aucun élément tangible corroborant cela.

Une preuve de suppression n’est en aucun cas une garantie que les pirates ne possèdent plus les données.

Techcrunch

L’identité des attaquants reste un mystère

PowerSchool a échangé avec les hackers mais refuse de révéler qui ils sont. L’entreprise canadienne CyberSteward, spécialisée dans la réponse aux incidents et chargée des négociations, n’a pas non plus répondu aux questions de TechCrunch.

Les établissements scolaires dans le flou

PowerSchool avait promis à ses clients un rapport d’incident de la société de cybersécurité CrowdStrike, mandatée pour enquêter sur la brèche, pour le 17 janvier. Mais plusieurs sources au sein d’écoles touchées ont indiqué à Techcrunch ne toujours pas l’avoir reçu à ce jour.

Face aux nombreuses interrogations sans réponse de PowerSchool, les établissements impactés sont contraints de collaborer entre eux pour tenter d’éclaircir cette cyberattaque. Une situation préoccupante lorsque des données aussi critiques et personnelles d’élèves sont en jeu. Les familles attendent des explications et une transparence totale sur l’étendue et les conséquences de cette faille massive.