Le Toronto District School Board (TDSB) a annoncé qu’une récente faille de cybersécurité affectant PowerSchool pourrait avoir compromis les informations personnelles des élèves de 1985 à 2024. La faille, découverte le 7 janvier, a suscité des inquiétudes car elle pourrait avoir un impact sur les informations médicales, les numéros de carte d’assurance maladie et adresses personnelles.
Un conseil scolaire de Toronto signale une violation de la cybersécurité affectant les données des élèves
PowerSchool sert de plateforme cloud utilisée par de nombreux conseils scolaires pour conserver les dossiers des élèves et du personnel. Dans une communication aux parents et tuteurs, la directrice par intérim de l’éducation, Stacey Zucker, a expliqué que les détails spécifiques des données compromises varient en fonction de la période d’inscription de l’élève.
Le TDSB signalé que les dossiers des étudiants inscrits du 3 septembre 1985 au 31 août 2017 pouvaient contenir des noms, des dates de naissance, des sexes, des numéros de carte d’assurance maladie, des adresses personnelles, des numéros de téléphone et des informations supplémentaires. Pour les étudiants ayant fréquenté l’école entre septembre 2017 et le 28 décembre 2024, les informations consultées peuvent inclure les noms, les dates de naissance, les sexes, les numéros de carte Santé, les dossiers médicaux tels que les allergies, les adresses personnelles, les numéros de téléphone, les informations de résidence, ainsi que les parents, les détails du tuteur ou du soignant et les informations de contact en cas d’urgence.
Le TDSB a notamment confirmé que les informations médicales liées à son équipe de services de soutien, qui comprend divers professionnels de la santé, n’ont pas été affectées par la violation. Les responsables canadiens de la protection de la vie privée enquêtent actuellement sur l’incident.
En réponse à cette violation, PowerSchool a annoncé qu’elle fournir des services gratuits de protection de l’identité pendant deux ans pour tous les étudiants et éducateurs concernés, ainsi que deux ans de surveillance du crédit pour les étudiants et éducateurs adultes, que leur numéro d’assurance sociale ait été ou non compromis. Le TDSB a assuré qu’il ne stocke pas les numéros d’assurance sociale ni les données financières dans le système PowerSchool, indiquant que ces informations restent sécurisées.
« PowerSchool offrira deux ans de services gratuits de protection de l’identité à tous les étudiants et éducateurs dont les informations ont été impliquées et offrira également deux ans de services gratuits de surveillance du crédit à tous les étudiants et éducateurs adultes dont les informations ont été impliquées. Nous faisons cela indépendamment du fait que le numéro de sécurité sociale d’un individu ait été ou non exfiltré.
-PowerSchool
Le porte-parole du TDSB, Ryan Bird, a déclaré que PowerSchool avait assuré à tous les conseils scolaires que les données compromises avaient été supprimées et non stockées ailleurs. Bird a exprimé ses inquiétudes persistantes concernant la violation et a souligné les efforts de collaboration avec PowerSchool pour améliorer la sécurité du système.
Selon TechCrunchRomy Backus, administratrice de l’American School of Dubai, a reçu une notification de PowerSchool concernant la violation et a immédiatement pris des mesures pour comprendre son impact, car la communication initiale ne précisait pas quelles données avaient été compromises. Backus a souligné un manque d’informations exploitables, ce qui a semé la confusion parmi les administrateurs scolaires qui tentaient de déterminer l’étendue de la violation. Les administrateurs des différentes écoles concernées se sont tournés les uns vers les autres pour obtenir des conseils, ce qui a entraîné une augmentation notable de la communication entre les utilisateurs de leur réseau. listes de diffusion par courrier électronique.
Backus a utilisé ses connaissances techniques pour identifier les données compromises dans son école et a ensuite créé un guide complet à l’intention de ses collègues administrateurs détaillant les modèles de violation et les étapes d’enquête. Ce guide a été largement partagé sur les forums d’utilisateurs de PowerSchool, rassemblant des milliers de vues et devenant une ressource essentielle pour les écoles confrontées aux conséquences de la violation.
Doug Levin, co-fondateur de K12 Security Information eXchange, a souligné l’importance d’une telle collaboration au sein de la communauté éducative, en particulier lors d’incidents à grande échelle comme la violation de PowerSchool, car les écoles manquent souvent de ressources de cybersécurité robustes.
La porte-parole de PowerSchool, Beth Keebler, a reconnu l’environnement de soutien favorisé parmi ses clients, soulignant les efforts de coopération pendant la crise de sécurité.
Depuis la dernière mise à jour, le TDSB a assuré aux étudiants actuels et anciens qu’il n’y avait aucun accès non autorisé continu aux données.
Crédit image en vedette : École de puissance
