Quel est l’impact réel d’un piratage massif des données scolaires sur notre système éducatif et notre sécurité numérique? La récente violation de données de PowerSchool, une entreprise majeure de technologie éducative aux États-Unis, soulève de nombreuses interrogations.
En janvier 2025, PowerSchool a révélé que des attaquants avaient pénétré son portail de support client en utilisant des identifiants compromis. Ce piratage a permis un accès étendu à son système d’information scolaire, utilisé par 18 000 écoles pour gérer les dossiers académiques de 60 millions d’élèves à travers l’Amérique du Nord. Mais pourquoi une entreprise de cette envergure n’avait-elle pas mis en place une authentification à plusieurs facteurs pour sécuriser ses accès?
Quelques détails ont été dévoilés par PowerSchool, mais l’ampleur du problème reste trouble. Les questions des parties concernées – écoles, parents, régulateurs – sont nombreuses, surtout quand on sait que le pirate aurait eu accès aux systèmes de PowerSchool dès août 2024.
L’incertitude plane autour du nombre exact d’élèves et d’enseignants touchés et des types de données exfiltrées.
Malgré les demandes répétées, PowerSchool reste muet sur le nombre total de personnes concernées et sur le type exact de données dérobées. Mais le rapport de CrowdStrike révèle qu’un hacker avait infiltré le réseau bien avant la déclaration du piratage en décembre. Quelle est la portée de cette attaque? Les chiffres non confirmés parlent de millions de personnes affectées, avec des données sensibles telles que les notes, la présence et même des numéros de sécurité sociale potentiellement en jeu.
La question du ransomware reste aussi un sujet brûlant. Bien que PowerSchool ait assuré avoir pris des « mesures appropriées » pour empêcher la publication des données volées, la question reste: combien la compagnie a-t-elle payé pour protéger ces informations?
En fin de compte, ce que nous savons est bien mince comparé aux zones d’ombre qui persistent. Quelle preuve PowerSchool a-t-elle que les données volées ont été supprimées et le hacker identifié? La transparence dans la gestion de cette crise semble encore loin d’être atteinte. Et maintenant, en 2025, comment les acteurs de l’éducation doivent-ils préparer leurs défenses pour éviter de tels sinistres à l’avenir?
Source : Techcrunch
