Un jeune de 19 ans admet avoir commis une violation de données dans PowerSchool

Un étudiant de 19 ans est accusé après avoir plaidé coupable de cyberextorsion visant PowerSchool, exposant les données de plus de 60 millions d'élèves et de 10 millions d'enseignants. Découvrez les répercussions de cette faille, considérée comme la plus importante de l'histoire des écoles américaines.

Matthew D. Lane, un étudiant de 19 ans originaire de Sterling, dans le Massachusetts, a accepté de plaider coupable dans une affaire de cyber-extorsion impliquant deux sociétés américaines, dont PowerSchool , un important fournisseur de logiciels éducatifs.

Le ministère américain de la Justice ( DOJ ) a annoncé le 20 mai que Lane, un étudiant de l'Université Assumption, est accusé d'avoir piraté des réseaux informatiques et d'avoir exigé des rançons.

Selon l' acte d'accusation (PDF), il fait face à plusieurs chefs d'accusation, notamment de complot d'extorsion informatique, d'accès non autorisé à un ordinateur et de vol d'identité aggravé.

Bien que la déclaration officielle du ministère de la Justice ne nomme pas le fournisseur de logiciels éducatifs, il semblerait qu'il s'agisse de PowerSchool, une plateforme largement utilisée dans les écoles aux États-Unis et au Canada, acquise par Bain Capital en octobre 2024.

PowerSchool a signalé pour la première fois un accès non autorisé à son portail d'assistance client PowerSource le 28 décembre 2024. Cette violation a exposé les données de plus de 60 millions d'élèves et de 10 millions d'enseignants de 6 505 districts scolaires à travers le monde. Elle a touché des conseils scolaires de plusieurs provinces canadiennes, dont l'Ontario, la Saskatchewan, l'Alberta, Terre-Neuve-et-Labrador, etc.

Les informations volées étaient nombreuses : noms complets, adresses, numéros de téléphone, mots de passe, coordonnées des parents, numéros de sécurité sociale, données médicales et même notes. PowerSchool n'a initialement pas confirmé le paiement de la rançon.

Cependant, comme Hackread.com l'a récemment rapporté, l'entreprise a reconnu le paiement en mai, après que les attaquants ont commencé à contacter directement les districts scolaires pour exiger des fonds supplémentaires. PowerSchool a déclaré : « Nous regrettons sincèrement ces événements ; nous sommes peinés que nos clients soient à nouveau menacés et victimes de mauvais traitements. »

Il convient de noter qu'avant de cibler PowerSchool, Lane et ses complices présumés ont tenté d'extorquer une société de télécommunications américaine en 2022. Ils ont volé des données clients et exigé 200 000 $ pour empêcher leur divulgation publique, mais cette tentative a échoué.

Le groupe s'est ensuite tourné vers PowerSchool. Le 28 décembre 2024, PowerSchool a reçu une demande de rançon en Bitcoin d'environ 2,85 millions de dollars, assortie de menaces de divulgation des données volées si le paiement n'était pas effectué.

Malgré le paiement d'une rançon par PowerSchool (le montant exact n'est pas confirmé), les districts scolaires concernés ont reçu de nouvelles demandes, ce qui a incité PowerSchool à divulguer publiquement leur paiement. Ces menaces persistantes ont vu les pirates informatiques cibler directement les écoles et les enseignants pour obtenir de nouveaux paiements, avait rapporté Hackread à l'époque.

Lane a accepté de plaider coupable à un chef d'accusation de complot de cyberextorsion, de cyberextorsion, d'accès non autorisé à des ordinateurs protégés et d'usurpation d'identité aggravée. S'il est reconnu coupable, il encourt de lourdes peines, notamment des peines d'emprisonnement allant de deux à cinq ans, des amendes pouvant atteindre 250 000 dollars et une libération surveillée.

Kimberly Milka, agent spécial par intérim en charge de la division de Boston du FBI , a souligné l'engagement du FBI à tenir les cybercriminels responsables, déclarant : « Matthew Lane pensait apparemment avoir trouvé un moyen de s'enrichir rapidement, mais ce jeune homme de 19 ans est maintenant accusé de s'être caché derrière son clavier pour obtenir un accès non autorisé. »

L'audience de plaidoyer de Lane n'a pas encore été programmée et il est considéré comme innocent jusqu'à preuve du contraire.