Les attaquants à l’origine de violations de données affectant divers conseils scolaires de la région du Grand Toronto et à l’étranger pourraient avoir eu accès à des informations personnelles et sensibles sur le personnel et les élèves, a déclaré PowerSchool.
Dans une lettre adressée aux parents mercredi, le Toronto District School Board (TDSB) a informé les familles d’un « cyberincident » lorsqu’ils ont été piratés pendant les vacances à l’aide d’une application appelée PowerSchool.
Voici ce que vous devez savoir sur la violation :
Aucune carte n’est concernée
Divers conseils scolaires de la province utilisent cette application pour stocker des informations sur les élèves et certaines informations sur le personnel de l’école. Le Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario a déclaré que les conseils scolaires de Toronto, Peel, York, Thunder Bay, Lakehead, Brant Haldimand Norfolk Catholic, Near North, Northwest Catholic, Northeastern Catholic et Rainy River District les ont informés de l’incident de cybersécurité.
Conseil scolaire du district de Durham a également informé les familles qu’elles étaient touchées par la violation de données, mais le bureau du commissaire affirme qu’elles n’ont pas été informées par la commission pour le moment.
« La possibilité que des informations personnelles sensibles des étudiants et du personnel soient exposées est très inquiétante. Même si les institutions publiques telles que les écoles et les conseils scolaires peuvent sous-traiter leurs services à des fournisseurs tiers, elles ne peuvent pas sous-traiter la responsabilité de la protection des renseignements personnels », a écrit le Commissariat à l’information et à la vie privée dans un communiqué envoyé par courriel.
Étant donné qu’ils enquêtent toujours sur l’incident de cybersécurité, le bureau du commissaire n’a pas pu partager de détails supplémentaires pour le moment.
Comment les pirates ont-ils accédé aux informations ?
Lors d’un briefing technique jeudi, Mishka McCowan, responsable de la sécurité des informations chez PowerSource, a déclaré que des acteurs non autorisés avaient pu pirater PowerSchool grâce à des informations d’identification compromises chez PowerSource.
« Il était très clair que l’attaquant avait pris deux mesures », a déclaré McCowan. « Au début, il s’agissait simplement de se connecter à Personal (Student Information System) à partir de PowerSource. Deuxièmement, télécharger le contenu des tables des étudiants et des enseignants.
Quelles informations peuvent être compromises
Une porte-parole de PowerSchool a déclaré par courrier électronique que les tableaux faisant l’objet de la violation comprenaient principalement des informations de contact, telles que les noms et adresses des familles et des enseignants.
« Pour un certain sous-ensemble de clients, ces tableaux peuvent inclure des numéros de sécurité sociale (SSN), d’autres informations personnelles identifiables (PII) et des informations médicales et de qualité limitées », indique le communiqué. McCowan a déclaré que tous les conseils scolaires n’enregistrent pas des informations sensibles comme les numéros d’assurance sociale, ces données étant enregistrées école par commission scolaire.
Les commissions scolaires concernées ont déclaré mercredi avoir reçu la confirmation que toutes les données consultées par l’utilisateur non autorisé avaient été supprimées et qu’aucune copie de ces informations n’avait été diffusée en ligne.
« PowerSchool a pris toutes les mesures appropriées pour empêcher toute utilisation abusive non autorisée des données concernées et ne s’attend pas à ce que les données soient partagées ou rendues publiques », a déclaré un porte-parole de PowerSchool.
PowerSchool affirme avoir déployé son protocole de réponse en matière de cybersécurité et constitué une équipe de réponse interfonctionnelle, comprenant des experts tiers en cybersécurité et des membres de la haute direction de CrowdStrike. Le TDSB, le DDSB et le PDSB affirment avoir contacté le commissaire à l’information et à la protection de la vie privée de l’Ontario.
« Une fois que nous avons identifié quel compte est utilisé, et il y en aura davantage plus tard, soyez indulgents avec nous, nous avons identifié et supprimé l’accès, nous avons fermé ce compte », a déclaré McCowan lors du briefing technique de jeudi. « Par prudence, nous avons réinitialisé les mots de passe de tous les employés PowerSchool sur ces systèmes PowerSource. »
Ils restreignent également l’accès des comptes compromis aux portails concernés.
« Nous travaillons toujours sur notre examen détaillé des données pour chacun des clients concernés », a déclaré un porte-parole de PowerSchool.
Combien de familles ont été touchées ?
On ne sait pas encore combien de conseils scolaires ont été touchés par cette violation de données, mais d’autres conseils scolaires à travers le Canada ont également été touchés par l’incident de cybersécurité de PowerSchool.
Mark Racine, consultant en sécurité des conseils scolaires et co-fondateur de RootED Solutions, a déclaré au CP24 dans une interview qu’il est raisonnable de dire que des millions d’élèves sont concernés.
«PowerSchool, tel que nous le connaissons, dessert 60 millions d’étudiants dans le monde. Mais nous savons que cette attaque n’a pas affecté tous leurs produits, et elle n’a certainement pas affecté tous leurs clients », a déclaré Racine.
