« Quand on parle de piratage, parfois, il ne s’agit pas seulement de pirates, mais aussi de très mauvais élèves… » Voilà qui aurait pu être le début d’une dissertation en philosophie, mais il s’agit bien de cybersécurité, et surtout du plus grand casse de données scolaires aux États-Unis. Du jamais-vu… Ou plutôt, du jamais-voulu voir !
Cette semaine, l’actualité du cyberespace nous a livré un feuilleton digne d’une série Netflix. Matthew D. Lane, 19 ans, étudiant dans le Massachusetts, a décidé de troquer ses devoirs contre quelques millions de dossiers confidentiels. Son arme ? Des identifiants volés qui lui ont ouvert la porte (telle une clé USB magique) à l’un des géants du logiciel éducatif : PowerSchool. Résultat de ce braquage 2.0 : les données personnelles de 60 millions d’élèves et 10 millions d’enseignants sorties du cartable… et jetées en pâture.
Imaginez, une montagne de noms, adresses, numéros de sécurité sociale et même—cerise sur la bourse—des résultats médicaux et scolaires, parfois sur plus de quarante ans ! Et pendant que tout le monde cherchait le coupable, PowerSchool s’est retrouvé obligé d’acter la fuite, confirmant que l’intrusion datait déjà de l’été 2024. Eh oui, parfois le passé ne s’efface pas, même à coup de gros chèques… ou de cryptomonnaie.
Ce que les hackers effacent, Internet le sauvegarde souvent… à jamais !
Mais ce n’est pas tout ! Notre jeune hacker n’a pas agi seul dans cette classe de la criminalité numérique. Accompagné d’un mystérieux complice résidant dans l’Illinois, Lane a tenté d’extorquer près de 2,85 millions de dollars en cryptomonnaie à PowerSchool. Face à cette demande digne d’un contrôle surprise, la société aurait payé—histoire de sauver la face ou, plus probablement, d’éviter de retrouver ses devoirs éparpillés partout sur la toile. Mais le pire, c’est qu’après que l’entreprise ait sorti le chéquier (virtuel), certaines écoles ont reçu de nouvelles tentatives de chantage : preuve qu’un pirate, même repu, a toujours un peu faim.
Comme dans toute bonne affaire de cyberbanditisme, la transparence est… disons… opaque ! PowerSchool, par la voix de sa porte-parole Beth Keebler, a préféré dévier les questions vers les autorités judiciaires, qui, elles, n’ont pas souhaité nommer les « victimes ». Quant à la rançon, on devine qu’elle a été bien salée même si la recette est restée secrète.
Et parce qu’un hacker polytechnicien ne se repose jamais, Lane aurait également tenté sa chance du côté d’une entreprise de télécommunications américaine—prouvant qu’il avait plus d’une attaque dans son sac à dos. Mais là encore, aucune marque ne s’est portée volontaire pour une session de désignation d’élève dissipé.
L’affaire est suivie de près par tous les experts de la cybersécurité et les fans d’anecdotes numériques. Mais n’oublions pas la morale de l’histoire : si vous faites l’école buissonnière côté sécurité, il y aura toujours un petit génie pour venir jouer dans vos fichiers !
Finalement, il ne suffit pas d’avoir PowerSchool pour avoir la power-security. La prochaine fois, espérons que la cybersécurité sera un peu moins scolaire… ou sinon, quelqu’un risque encore d’avoir une fuite en contrôle continu !
Source : Techcrunch
