Un étudiant de 19 ans a été condamné à quatre ans de prison pour avoir orchestré une cyberattaque qui a compromis les données de millions d’élèves et d’enseignants.
Matthew D. Lane, originaire du comté de Worcester (Massachusetts), a écopé de quatre ans de prison fédérale pour son rôle central dans une intrusion contre PowerSchool, fournisseur californien de solutions technologiques éducatives utilisé par plus de 60 millions d’élèves dans le monde. L’affaire met en lumière la vulnérabilité persistante du secteur de l’éducation face aux attaques ciblées contre ses systèmes de gestion de données.
Une attaque d’ampleur mondiale
Lane a plaidé coupable en mai 2025 à quatre chefs d’accusation fédéraux, notamment fraude informatique et vol d’identité aggravé. Selon les procureurs, il a exploité avec plusieurs complices des identifiants volés à un sous-traitant pour s’introduire dans PowerSource, le portail d’assistance de PowerSchool. Cette intrusion a permis l’accès à des bases de données regroupant les informations personnelles de 62,4 millions d’élèves et 9,5 millions d’enseignants issus de 6 505 districts scolaires dans le monde. Les données compromises comprenaient des noms, adresses, numéros de sécurité sociale, identifiants étudiants, dates de naissance, informations médicales limitées, statuts de résidence et antécédents disciplinaires. Les pirates ont ensuite exigé une rançon de 2,85 millions $ (2,6 millions d’euros) en Bitcoin au nom d’un prétendu collectif, ShinyHunters, le 28 décembre 2024.
Un paiement controversé et des séquelles durables
PowerSchool a confirmé avoir versé une rançon quelques jours après la découverte de l’incident, sans en révéler le montant exact. L’entreprise a expliqué sa décision par la nécessité de « protéger les élèves, les enseignants et les communautés concernées ». Malgré le paiement, plusieurs écoles clientes ont signalé par la suite de nouvelles tentatives d’extorsion impliquant les mêmes données. PowerSchool a indiqué avoir alerté les autorités américaines et canadiennes, et avoir offert des services gratuits de surveillance du crédit et de protection d’identité à toutes les personnes concernées. Dans un communiqué, l’entreprise a exprimé ses regrets, soulignant que « les établissements scolaires ne devraient pas être pris pour cible par des acteurs malveillants ». Elle affirme avoir depuis renforcé ses protocoles de sécurité et procédé à un audit complet de ses systèmes.
Conséquences judiciaires et responsabilités partagées
Outre la peine de prison, Lane devra rembourser plus de 14 millions $ (12,8 millions d’euros) et s’acquitter d’une amende de 25 000 $ (22 800 euros). Le jugement, rendu par la juge fédérale Margaret Guzman, rappelle la sévérité croissante des tribunaux américains face aux cyberattaques touchant les infrastructures éducatives. PowerSchool, de son côté, fait désormais face à une procédure intentée par le procureur général du Texas, Ken Paxton, pour « négligence dans la protection des données sensibles des familles et des établissements scolaires ».
Cette action illustre la pression réglementaire croissante exercée sur les entreprises EdTech, sommées d’adopter des standards de sécurité comparables à ceux du secteur bancaire. L’affaire Lane démontre aussi la sophistication des nouvelles générations de cybercriminels, souvent jeunes et techniquement compétents, capables de compromettre à grande échelle des systèmes critiques via des chaînes d’approvisionnement numériques.
