La division scolaire Pembina Trails ne s’est pas encore totalement remise de la cyberattaque lancée contre ses systèmes informatiques et téléphoniques le 2 décembre dernier. Après avoir découvert qu’elle avait été attaquée, l’organisation a engagé une agence de cybersécurité pour l’aider à enquêter et a dû mettre ses systèmes hors ligne afin de les restaurer de manière sécuritaire.
Dans une mise à jour publiée le 19 décembre dernier, la division scolaire a annoncé que les enquêtes en cours avaient révélé les informations qui avaient été compromises aux cybercriminels à l’origine de cette attaque.
« Nous avons appris que la base de données contenant des informations sur les élèves a été consultée et que la base de données contenant des informations de paie pourrait avoir été consultée par un tiers non autorisé dans les jours précédant le 2 décembre 2024, » lit-on dans un communiqué publié par la division scolaire.
« La base de données des élèves contient généralement des informations sur les élèves qui fréquentent la division scolaire Pembina Trails depuis 2014. Notre base de données des élèves contient le nom, la date de naissance, le sexe, l’adresse, les coordonnées des parents ou des tuteurs, la photo scolaire la plus récente (aucune autre photo n’est conservée dans cette base de données) et le numéro d’identification médical personnel.
« Pour certains élèves, elle contient également des informations sur leur état de santé ou des alertes médicales, des informations sur l’immigration et le nom de l’établissement d’enseignement précédent.
La division scolaire a confirmé qu’aucune information financière n’est stockée dans la base de données des élèves, mais a tout de même averti parents et élèves de rester vigilants lorsqu’il s’agit de communications semblant provenir de la division scolaire, surtout si celles-ci demandent plus d’informations personnelles ou contiennent des hyperliens.
D’après Akim Laniel-Lanani, directeur de la Clinique de cybercriminologie, les informations contenues dans ces bases de données pourraient suffire aux cybercriminels pour les exploiter et commettre des fraudes ou d’autres attaques ciblées sur les personnes concernées.
« Par exemple, un cybercriminel pourrait tenter de s’inscrire à des services en ligne, ouvrir des comptes bancaires, ou souscrire à des prêts. Ces informations pourraient aussi faciliter le travail des réseaux de fraudeurs spécialisés dans les fraudes du type besoin urgent d’argent ou mieux connu sous le nom de fraude grand-parent ou fraude par téléphone cassé. »
Les informations médicales des étudiants, ajoute-t-il, pourraient être utilisées dans le cadre d’un vol d’identité dans le but d’accéder à des services médicaux ou même de commettre des fraudes à l’assurance maladie.
En outre, une des bases de données compromises contient des informations de paie sur le personnel remontant à 2009.
Bien que le communiqué précise que toutes les informations relatives aux anciens membres du personnel n’ont pas été conservées dans cette base de données, il est possible que le « nom, la date de naissance, le sexe, l’adresse, le numéro de téléphone, les informations relatives à la rémunération, les informations relatives au compte bancaire et le numéro d’assurance sociale » du personnel actuel et des anciens membres du personnel aient été compromis.
Ces données personnelles, si elles sont divulguées, exposent malheureusement les personnes concernées à un risque élevé de fraude financière ou de vol d’identité.
« Bien que nous n’ayons aucune preuve que le contenu de la base de données des salaires ait été effectivement consulté, » dit la division scolaire, « par excès de prudence, nous informons et offrons gratuitement 36 mois de service de surveillance du crédit aux employés actuels et anciens dont les informations se trouvaient dans cette base de données. »
Le gouvernement du Canada recommande également aux victimes d’une fuite de données de contacter les deux agences de crédit principales, Equifax et TransUnion, et de placer une alerte à la fraude dans leur dossier. Cette mesure informe les créanciers potentiels de prendre des étapes supplémentaires pour vérifier vos informations avant d’ouvrir une nouvelle ligne de crédit à votre nom.
De plus, les agences de crédit offrent souvent d’autres systèmes gratuits de surveillance du crédit.
Ensemble, ces précautions réduisent les risques pour les personnes affectées par une brèche de données de devenir plus tard victimes de vol d’identité, car les données fuitées peuvent continuer à être revendues et tentées d’être utilisées longtemps après l’incident de cybersécurité initial.
Le 30 décembre dernier, la division scolaire Pembina Trails a déclaré qu’elle travaillait encore pour se rétablir de la cyberattaque. Une mise à jour expliquait que leur service informatique passe au peigne fin les milliers d’ordinateurs des 36 écoles et bâtiments administratifs à la recherche de maliciels, tout en y installant des outils de sécurité. La restauration des imprimantes scolaires est en cours et les lignes téléphoniques ont été rétablies.
« Nous regrettons profondément que cet incident se soit produit, » déclare l’organisation. « Nous trouvons consternant qu’une organisation dédiée à l’éducation et à la sécurité des enfants soit l’objet de ce type d’activité criminelle. »