Le fournisseur de logiciel d’éducation PowerSchool a fourni des mises à jour sur son récent incident de cybersécurité, qui a affecté des élèves et éducateurs à travers l’Amérique du Nord.

Le 17 janvier, l’entreprise a révélé dans un communiqué que les informations exfiltrées comprenaient « le nom de la personne, ses coordonnées, sa date de naissance, des informations limitées sur les alertes médicales, son numéro d’assurance sociale et d’autres informations connexes ».

Une autre mise à jour publiée le 24 janvier dernier ajoutait que l’entreprise n’est pas encore en mesure de confirmer le nombre de personnes touchées par la fuite de données puisqu’une enquête interne est encore en cours.

Plusieurs écoles touchées

Des écoles à travers le pays rapportent cependant que des dossiers datant de plusieurs décennies ont été touchés ; à Terre-Neuve, la ministre de l’éducation Krista Lynn Howell a déclaré que le logiciel contenait des informations sur les élèves remontant à 1995.

L’entreprise s’adresse maintenant aux personnes concernées pour leur proposer des services de surveillance du crédit et de protection de l’identité, compte tenu de la sensibilité des informations qui ont été violées. En effet, les numéros d’assurance sociale, les coordonnées et les informations médicales peuvent tous être utilisés par des cybercriminels pour cibler des personnes dans le cadre de diverses arnaques. Le Commissaire à la protection de la vie privée, Philippe Dufresne, a d’ailleurs publié une déclaration annonçant ses préoccupations par rapport aux « répercussions potentielles » de cet incident étant donné la sensibilité des informations fuitées.

L’entreprise a été informée de l’incident de cybersécurité le 28 décembre 2024 et les divisions scolaires concernées en ont été informées le 7 janvier 2025. Au Manitoba, 28 des 37 divisions scolaires utilisaient ce fournisseur et ont donc été touchées par la fuite de données. Lorsque les divisions scolaires ont d’abord été informées, elles avaient reçu l’assurance que « les données consultées ont été supprimées » et que PowerSchool se sentait « confiant que les données n’ont pas été copiées ni téléchargées ailleurs. »

Négociations déconseillées

Un article publié par CBC a également cité un mémo envoyé par une superintendante manitobaine révélant que PowerSchool avait payé des frais aux pirates pour qu’ils suppriment les données qu’ils avaient exfiltrées et les empêcher de les divulguer publiquement.

Un faux pas dans le monde de la cybersécurité selon plusieurs experts. Selon Karim Ganame, fondateur et chef de la cybersécurité chez Streamscan AI, il est déconseillé de négocier avec les pirates ou de payer une rançon offerte, puisque « le message que vous envoyez au pirate, c’est que si vous avez payé une fois, vous allez payer la prochaine fois s’ils vous attaquent encore. »

« Le pirate se voit comme quelqu’un qui offre un service », dit Karim Ganame. « Une fois qu’il te pirate, il te voit comme un client. Il te propose une marchandise qui te coûtera tant d’argent, et il s’attend à ce que tu paies. »

À partir du moment où un cybercriminel considère une organisation comme un client payant, il essaiera encore et encore de continuer à faire des affaires avec elle, l’exposant ainsi à un plus haut risque d’attaques futures.

Le risque de payer une rançon

Mais lorsqu’une entreprise paie une rançon, elle finance également une opération criminelle, lui permettant de se développer.

« Il y a des groupes qui commencent tout petits. Lorsque vous payez une première rançon, supposons 100 000 $, puis 200 000 $, ils ont deux ou trois victimes. Mais à un moment, ils auront assez de moyens pour grossir et devenir plus puissants. Les capacités de nuisance augmentent et ils continuent à faire d’autres victimes encore. »

En outre, les rançons ne garantissent jamais que le pirate respectera sa part du marché. Il n’est pas rare que les pirates reçoivent un paiement et qu’ils diffusent tout de même les données publiquement ou qu’ils refusent de donner la clé de chiffrage permettant aux victimes d’accéder à nouveau à leurs fichiers.

Cela dit, la décision d’ignorer les cybercriminels s’avère souvent très difficile à prendre. « Entre la théorie et la pratique, ce qui se fait en réalité est complètement différent », maintient Karim Ganame.

Avec l’évolution rapide du paysage de la cybercriminalité, les enjeux d’une cyberattaque sont rapidement devenus beaucoup plus importants. Selon le docteur Ganame, les pirates peuvent désormais bloquer l’accès aux sauvegardes de données des organisations pour qu’elles aient de moins en moins de plans de secours. Ils menacent souvent de divulguer des informations sur un incident de cybersécurité, dans l’espoir que l’humiliation publique et l’attention négative des médias poussent les victimes à payer une rançon.

Reconstruire le système

« Le cas extrême, c’est d’imaginer quelqu’un qui a bâti sa compagnie depuis 30 ans et qui se fait pirater par rançongiciel alors qu’elle n’a aucune sauvegarde. Elle perd tout : il faut reconstruire le système, on perd la liste de clients, on ne sait même plus quelle facture a été envoyée. »

« Les gens font face à deux choix dans ces scénarios-ci. Est-ce que je refuse de payer la rançon, ce qui est la bonne chose à faire, mais je dois littéralement fermer ma compagnie ; ou bien je le vois d’un point de vue business où négocier et payer la rançon, ça vaut le coup pour pouvoir continuer à opérer ma compagnie? »

Karim Ganame insiste tout de même sur l’importance de rester transparent pour l’entreprise piratée, surtout dans les cas où les données potentiellement divulguées peuvent être extrêmement sensibles, comme les numéros d’assurance sociale.

« Je parle toujours de transparence. Les renseignements personnels qui ont été volés, par exemple le numéro d’assurance sociale, c’est un numéro qui va vous suivre à vie. Je recommande donc toujours aux compagnies qui sont hackées de ne pas essayer de le cacher. Il faut notifier les utilisateurs, surtout informer les autorités pour réduire les risques, puis assumer les conséquences. »