Fuite de données PowerSchool : accusations de négligence et de cybersécurité défaillante

Depuis que PowerSchool a annoncé plus tôt ce mois-ci avoir été victime d’une fuite de données, de nombreuses interrogations persistent quant aux conséquences sur les informations des élèves et des membres du personnel dans les districts scolaires utilisant le logiciel de PowerSchool à l’échelle nationale.

PowerSchool prévoit de publier prochainement un rapport basé sur les résultats de CrowdStrike, une entreprise de cybersécurité qui enquête sur ces événements. Les informations issues de ce rapport seront directement communiquées aux clients de PowerSchool, a indiqué un porte-parole de l’entreprise dans un email envoyé à K-12 Dive.

La société de logiciels K-12 a déclaré à K-12 Dive plus tôt dans le mois qu’elle avait pris connaissance le 28 décembre d’un “incident potentiel” de cybersécurité, dans lequel un acteur malveillant a réussi à accéder sans autorisation à une quantité non précisée de données relatives aux élèves et au personnel via son service PowerSource. Ce dernier est un portail d’assistance pour le personnel des districts et des écoles.

On pense que cet acteur malveillant a dérobé des informations contenues dans deux tables renfermant des données sur les familles et les enseignants au sein de la base de données du Système d’Information des Élèves de PowerSchool. Certaines de ces données pourraient inclure des informations personnelles identifiables, telles que les noms et adresses des familles et des éducateurs. Dans certains cas, des informations sensibles telles que les numéros de sécurité sociale et des données médicales ont également été exposées.

Un manque d’hygiène numérique ?

Bien que PowerSchool ait indiqué à K-12 Dive que cet incident n’était pas une attaque par ransomware, un reportage de Bleeping Computer a révélé que la page FAQ de la société pour ses clients reconnaissait avoir payé l’acteur malveillant à la suite de la fuite de données. Quand K-12 Dive a précédemment demandé à PowerSchool s’ils avaient versé une somme à l’auteur de l’attaque, un porte-parole a déclaré : “Nous avons pris toutes les mesures nécessaires pour empêcher l’utilisation non autorisée des données concernées. L’incident est contenu et nous ne prévoyons pas que les données soient partagées ou rendues publiques.”

Lors d’un webinaire du 15 janvier, l’organisation à but non lucratif nationale K12 Security Information eXchange a invité des experts en cybersécurité à partager leurs réactions et les mesures à prendre par les districts scolaires suite à la fuite de données de PowerSchool. Doug Levin, cofondateur et directeur national de K12 SIX, a affirmé durant le webinaire que tout paiement à un acteur malveillant par le biais de l’extorsion met en péril le secteur de l’éducation.

“Cela incite les acteurs malveillants à continuer de nous cibler et de tenter de nous extorquer, que ce soit par le biais de l’encryption pour verrouiller nos appareils ou en volant nos données pour tenter de nous extorquer afin d’éviter une fuite”, a déclaré Levin.

Levin a ajouté qu’il n’y a aucune garantie que les données volées ne soient pas exploitées et rendues publiques, même si une organisation paie un acteur malveillant pour éviter leur publication sur le dark web. “Il est tout à fait possible que les données apparaissent là-bas à un moment ou à un autre, ou qu’elles soient utilisées pour cibler directement des enseignants et des élèves via du phishing ou de l’ingénierie sociale”, a-t-il précisé.

Le FBI déconseille aussi fortement aux victimes d’attaques par ransomware de verser des paiements aux hackers pour des raisons similaires à celles partagées par Levin.

Les intervenants du webinaire ont également soulevé des questions sur l’utilisation de l’authentification multifacteur pour le service PowerSource avant la fuite de données, à laquelle PowerSchool a répondu qu’elle n’était pas soutenue dans ce système, mais que cela avait été intégré dans leur plan de remédiation.

Wesley Lombardo, directeur des technologies des Écoles de la ville de Maryville, au Tennessee, a exprimé lors du webinaire qu’il n’y avait aucune raison pour qu’un utilisateur unique puisse accéder à toutes les données des élèves et enseignants de chaque district scolaire. Le manque d’hygiène numérique de PowerSchool est “plutôt préoccupant”, a-t-il affirmé.

“J’ai l’impression qu’il y a eu des échecs tout au long de ce processus, là où ils auraient peut-être pu bloquer cet accès initial, mais assurément dès que l’exfiltration a commencé, il aurait dû y avoir des alertes indiquant que quelque chose n’allait pas”, a-t-il conclu.

Des violations de la vie privée des données des élèves ?

Depuis la révélation de la fuite, au moins quatre recours collectifs ont été déposés contre PowerSchool.

L’un de ces recours collectifs a été déposé le vendredi devant le tribunal de district des États-Unis pour le district Est de Californie au nom d’une parent, Shandrelle Okoni, dont les enfants seraient touchés par cet incident. La plainte allègue que PowerSchool a fait preuve de négligence durant l’attaque et que la fuite a affecté plus de 60 millions d’enseignants et d’élèves.

De plus, la plainte affirme que PowerSchool n’a pas fourni d’avis rapide aux utilisateurs concernés, leur retirant ainsi la possibilité de se protéger.

“Nous vivons dans un monde où ces entreprises EdTech font partie intégrante de l’expérience scolaire de nos enfants. Les enfants ne peuvent pas donner leur consentement à l’utilisation de ce logiciel, et les parents ne peuvent pas choisir si leurs enfants l’utilisent”, ont déclaré les avocats John Morgan et Ryan McGee du cabinet Morgan & Morgan, représentant les plaignants. “Et pourtant, PowerSchool, qui stocke les informations personnelles des étudiants et des enseignants à travers l’Amérique du Nord, aurait échoué à protéger ces données sensibles, compromettant ainsi la sécurité et la vie privée de millions d’enfants.”

Au fur et à mesure que des détails ont émergé, “il est devenu évident à quel point les décisions prises avant la fuite étaient graves”, a dit Amelia Vance, fondatrice et présidente du Public Interest Privacy Center, lors du webinaire K12 SIX.

“Les obligations légales ici sont claires, les exigences de sécurité qui faisaient défaut étaient standard et codifiées dans plusieurs lois”, a ajouté Vance.

PowerSchool fait partie des entreprises ayant signé des engagements nationaux sur la confidentialité des données dans l’éducation avec la Cybersecurity and Infrastructure Security Agency, ainsi qu’avec le Future of Privacy Forum et la Software & Information Industry Association.

À la suite de cette fuite, le statut de l’engagement de PowerSchool auprès du Future of Privacy Forum est “sous examen”. Une décision finale devait être attendue dans les 30 jours à partir du 14 janvier.

“Nous avons examiné les rapports de presse concernant la fuite de données de PowerSchool et les violations potentielles des engagements de l’entreprise en matière de confidentialité des étudiants, en mettant particulièrement l’accent sur son engagement à maintenir un plan de sécurité complet”, a déclaré une déclaration du Future of Privacy Forum en date du 14 janvier.

Thorin Klosowski, activiste en matière de sécurité et de vie privée à l’Electronic Frontier Foundation, a déclaré par email que les fournisseurs de technologies éducatives comme PowerSchool conservent les données aussi longtemps que possible, ce qui les rend vulnérables au vol de données.

“Si des entreprises comme PowerSchool adoptaient une approche axée sur la vie privée et se concentraient sur la minimisation des données, en ne collectant et en stockant que ce qui est absolument nécessaire pour fournir les services promis, bon nombre de violations de données seraient bien moins nuisibles pour les victimes”, a conclu Klosowski.