PowerSchool a publié une enquête de CrowdStrike tant attendue sur sa violation massive de données de décembre 2024, qui a déterminé que l’entreprise avait déjà été piratée plus de 4 mois plus tôt, en août, puis à nouveau en septembre.
PowerSchool est un fournisseur de logiciels de la maternelle à la 12e année basé sur le cloud qui dessert plus de 60 millions d’étudiants et 18 000 clients dans le monde entier, offrant des solutions d’inscription, de communication, de présence, de gestion du personnel, d’apprentissage, d’analyse et de finance.
En décembre, la société a annoncé que des pirates informatiques avaient obtenu un accès non autorisé à son portail de support client, nommé PowerSource. Ce portail comprenait un outil de maintenance à distance qui permettait à l’auteur de la menace de se connecter aux bases de données des clients et de voler des informations sensibles, notamment les noms complets, les adresses physiques, les coordonnées, les numéros de sécurité sociale (SSN), les données médicales et les notes.
Bien que l’entreprise n’ait pas officiellement divulgué le nombre de personnes touchées par cet incident, Breachtrace a d’abord signalé que l’acteur menaçant affirmait avoir volé les données de 72 millions de personnes, dont des étudiants et des enseignants.
Violation plus ancienne découverte
Dans une mise à jour publiée à la fin de la semaine dernière, PowerSchool a partagé un rapport d’incident de CrowdStrike qui a été compilé le 28 février 2025.
Dans ce rapport, CrowdStrike confirme que les acteurs de la menace ont violé PowerSchool via PowerSource en utilisant des informations d’identification compromises et ont maintenu leur accès entre le 19 décembre 2024, 19:43:14 UTC, et le 28 décembre 2024, 06:31:18 UTC.
La firme de cybersécurité a également confirmé que l’auteur de la menace avait exfiltré les données des enseignants et des élèves des systèmes compromis, bien qu’elle note qu’il n’y a aucune preuve que d’autres bases de données aient été volées.
De même, il n’y a aucune preuve que des logiciels malveillants aient été installés sur les systèmes PowerSchool ou que l’auteur de la menace ait augmenté ses privilèges, se soit déplacé latéralement ou en aval vers les systèmes client/école.
CrowdStrike a noté qu’au 2 janvier 2025, ses renseignements sur le Dark Web montraient que les acteurs de la menace avaient tenu leur promesse de ne pas publier de données après le paiement d’une demande d’extorsion, car la firme de cybersécurité n’avait pas trouvé les données proposées à la vente ou divulguées en ligne.
CrowdStrike a également constaté que les acteurs de la menace avaient violé PowerSource encore plus tôt qu’en décembre, avec les mêmes informations d’identification compromises utilisées des mois plus tôt, en août et septembre 2024.
Cependant, il n’y a pas suffisamment de données pour confirmer s’il s’agissait du même acteur menaçant à l’origine de toutes les violations.
« À partir du 16 août 2024, à 01: 27: 29 UTC, les journaux PowerSource ont montré qu’un acteur inconnu avait réussi à accéder au portail PowerSchool PowerSource en utilisant les informations d’identification d’assistance compromises », explique CrowdStrike.
« CrowdStrike n’a pas trouvé de preuves suffisantes pour attribuer cette activité à l’acteur menaçant responsable de l’activité en décembre 2024. »
« Les données de journal SIS disponibles ne remontaient pas assez loin pour montrer si l’activité d’août et de septembre comprenait un accès non autorisé aux données SIS de PowerSchool. »
À l’heure actuelle, PowerSchool n’a toujours pas officiellement partagé le nombre total d’écoles, d’élèves ou d’enseignants touchés, ce qui soulève des inquiétudes quant à la transparence.
Cependant, des sources ont déclaré à Breachtrace que la violation avait touché 6 505 districts scolaires aux États-Unis, au Canada et dans d’autres pays, avec 62 488 628 élèves et 9 506 624 enseignants dont les données avaient été volées.
Breachtrace a contacté PowerSchool pour demander plus de détails sur les dernières découvertes, et nous mettrons à jour cet article si nous avons des nouvelles.