Nous Contacter

L’Entraide Des Victimes D’une Faille De Sécurité Massive

Imaginez le choc : un soir, vous recevez un email vous informant que votre établissement scolaire a été victime d’une faille de sécurité massive. C’est exactement ce qui est arrivé à des milliers d’écoles à travers le monde le 7 janvier dernier, lorsque le géant de l’EdTech PowerSchool a notifié ses clients d’une brèche touchant les données privées d’élèves et d’enseignants dans le monde entier.

PowerSchool : un acteur majeur de l’EdTech touché

PowerSchool, qui se présente comme le plus grand fournisseur de logiciels éducatifs dans le Cloud pour les écoles de la maternelle au lycée, dessert quelque 18 000 établissements et plus de 60 millions d’élèves en Amérique du Nord. L’impact de cette faille pourrait donc être « massif », comme l’a confié un informaticien d’une école touchée.

D’après des responsables de districts scolaires affectés, les hackers auraient eu accès à « toutes » leurs données historiques sur les élèves et les enseignants stockées dans les systèmes fournis par PowerSchool. Des informations sensibles comme les numéros de sécurité sociale, les dossiers médicaux, les notes et d’autres données personnelles pourraient avoir été compromises.

Une course contre la montre pour évaluer les dégâts

Dès le lendemain de la notification de PowerSchool, les administrateurs système des écoles touchées se sont lancés dans une véritable course contre la montre pour comprendre l’étendue exacte de la faille. En effet, PowerSchool n’avait fourni aucun détail spécifique à chaque établissement dans son email de divulgation.

« J’ai commencé à creuser parce que je voulais en savoir plus », raconte Romy Backus, administratrice système à l’American School of Dubai. « D’accord, on a été touchés. Super. Mais qu’est-ce qui a été pris ? Quand est-ce que ça a été pris ? À quel point c’est grave ? »

Romy Backus, American School of Dubai

Rapidement, Romy Backus et d’autres administrateurs système ont réalisé qu’ils n’étaient pas seuls dans cette quête de réponses. La communication « confuse et incohérente » de PowerSchool, selon un autre employé d’une école touchée, a poussé la communauté à s’organiser.

Une solidarité sans précédent

Face au manque d’informations actionables de la part de PowerSchool, les victimes de la faille ont décidé de prendre les choses en main. Les listes de diffusion des clients de PowerSchool ont littéralement « explosé », tous cherchant à savoir s’ils avaient été touchés et dans quelle mesure.

« On a vite compris qu’on était livrés à nous-mêmes. Il fallait qu’on agisse vite, parce qu’on ne pouvait pas vraiment faire confiance aux informations de PowerSchool à ce moment-là », explique Adam Larsen, assistant au superintendant du district scolaire 220 en Illinois.

Adam Larsen, Community Unit School District 220

Forte de ses compétences et de sa connaissance du système, Romy Backus a rapidement identifié les données compromises pour son école. Constatant un schéma se répéter, elle a décidé de rédiger un guide pratique à destination des autres administrateurs système, détaillant notamment l’adresse IP utilisée par les hackers et les étapes à suivre pour évaluer l’impact de la faille.

Des outils open source au service de l’entraide

Parallèlement, Adam Larsen a publié un ensemble d’outils open source, ainsi qu’un tutoriel vidéo, dans le but d’aider ses pairs. Ces ressources, tout comme le guide de Romy Backus qui s’est répandu comme une traînée de poudre dans la communauté PowerSchool, illustrent la façon dont les employés des écoles touchées se sont serré les coudes.

Face à la réponse lente et incomplète de PowerSchool, les victimes ont dû compter les unes sur les autres, collaborant de manière ouverte sur des canaux informels comme Reddit. Un véritable élan de solidarité né de la nécessité, d’autant plus remarquable que le secteur de l’éducation manque souvent de ressources et d’expertise en cybersécurité.

« Pour beaucoup d’entre nous, on n’a pas les moyens d’avoir toutes les ressources dont on aurait besoin en cybersécurité pour répondre à ce genre d’incidents, alors on doit se serrer les coudes », témoigne un autre employé d’une école touchée.

Un « merci » en demi-teinte de PowerSchool

Sollicité par TechCrunch, PowerSchool a tenu à remercier ses clients pour leur patience et leur entraide, tout en soulignant la force de sa « communauté de sécurité ». Pourtant, pour beaucoup, cette déclaration sonne un peu creux au vu du manque de communication initiale de l’entreprise.

Cette faille de sécurité massive met en lumière non seulement les vulnérabilités de notre écosystème numérique éducatif, mais aussi l’extraordinaire résilience et solidarité dont peuvent faire preuve les communautés touchées. Face à l’adversité, les victimes de PowerSchool ont su s’entraider et collaborer pour faire la lumière sur cet incident, palliant ainsi les lacunes de l’entreprise.

Reste à espérer que cette expérience servira de leçon à PowerSchool et à l’ensemble de l’industrie EdTech. Car s’il est réconfortant de voir une telle entraide émerger dans la crise, il serait préférable que de tels incidents ne se produisent pas en premier lieu. La sécurité et la confidentialité des données de nos élèves et enseignants devraient être une priorité absolue, et non un sujet sur lequel transiger.

Précédent

Canoo Dépose le Bilan : Le Début de la Fin pour les Startups EV ?

Suivant

Interdiction de TikTok aux États-Unis : L’Avenir Incertain de l’Application

À lire également