Un jeune homme du Massachusetts a été condamné mardi à quatre ans de prison pour avoir piraté le réseau du fournisseur de logiciels éducatifs PowerSchool, une plateforme utilisée par des milliers d’écoles à travers les États-Unis. L’attaque avait permis de voler les données personnelles de millions d’élèves et d’enseignants, avant une tentative d’extorsion contre l’entreprise.
Matthew Lane, âgé de 20 ans, a été reconnu coupable d’intrusion informatique, de vol de données et de tentative de chantage. La juge fédérale Margaret Guzman, qui présidait l’audience, a prononcé une peine de quatre ans d’emprisonnement assortie d’une période de mise à l’épreuve. Le parquet fédéral avait requis une peine exemplaire, soulignant « la gravité d’une attaque visant directement le système éducatif américain ».
Selon l’enquête, Lane avait pénétré les serveurs de PowerSchool LLC à l’aide d’un logiciel malveillant, accédant à des bases de données contenant les informations scolaires, les adresses et les identifiants de connexion de millions d’utilisateurs. Après avoir exfiltré les données, il avait contacté la société pour exiger une rançon en cryptomonnaie, menaçant de divulguer publiquement les informations s’il n’obtenait pas le paiement.
Les procureurs ont indiqué que le jeune hacker, originaire de Worcester, avait agi seul, mais qu’il avait profité de failles de sécurité connues et insuffisamment corrigées dans le système de PowerSchool. L’entreprise, qui fournit des services numériques à des établissements scolaires publics et privés dans plus de 90 pays, a depuis renforcé ses protocoles de cybersécurité et collaboré avec le FBI pour identifier l’auteur du piratage.
Lors de son procès, Lane a exprimé des remords et affirmé qu’il n’avait pas mesuré l’ampleur de ses actes. La juge Guzman a toutefois souligné que son comportement avait mis en danger la vie privée de millions d’enfants et d’enseignants et affaibli la confiance dans les infrastructures numériques du secteur éducatif. PowerSchool a déclaré dans un communiqué qu’elle continuait à aider les établissements affectés à sécuriser leurs réseaux et à restaurer leurs données.
