Matthew Lane, un étudiant de 19 ans du Massachusetts, a plaidé coupable d'avoir piraté le fournisseur de logiciels éducatifs en ligne, PowerSchool, et d'avoir volé des données de millions d'élèves et d'enseignants en Amérique du Nord et notamment au Canada, qui ont ensuite été utilisées pour demander des rançons aux entreprises et aux conseils scolaires touchés.

Les documents judiciaires ne mentionnent pas le nom des entreprises concernées, mais une personne au fait de l'affaire a confirmé que PowerSchool était l'une des victimes.

C'est la première fois que les autorités identifient le responsable d'une violation de données chez PowerSchool, un bris de sécurité qui semble avoir exposé les données de dizaines de millions d'enfants.

Le logiciel PowerSchool est utilisé par plus de 18 000 écoles pour aider plus de 60 millions d'élèves.

Au Canada, des conseils scolaires en Ontario, en Saskatchewan, en Alberta, à Terre-Neuve-et-Labrador, en Nouvelle-Écosse,à l'Île-du-Prince-Édouard, au Manitoba et dans les Territoires du Nord-Ouest ont été touchés par cette violation massive de données.

Matthew Lane est étudiant à l'Université Assumption de Worcester. Son avocat n'a pas répondu aux demandes de commentaires.

PowerSchool, dont le siège se trouve à Folsom, en Californie, a révélé la faille en janvier. Elle a déclaré en avoir pris connaissance le 28 décembre 2024 et avoir décidé de payer une rançon pour éviter que les données ne soient rendues publiques.

PowerSchool a déclaré au début du mois que plusieurs districts scolaires avaient également reçu des demandes d'extorsion liées aux mêmes données.

Des données transférées en Ukraine

Selon les procureurs, Matthew Lane a utilisé les informations d'identification d'un sous-traitant de PowerSchool en septembre pour accéder à son réseau et obtenir des données sur les élèves et les enseignants.

En décembre, il a transféré des données sur les étudiants et les enseignants vers un serveur informatique qu'il a loué auprès d'un fournisseur de services de stockage infonuagique en Ukraine, selon les procureurs.

Quelques jours plus tard, PowerSchool a reçu une demande de rançon menaçant de divulguer les noms, adresses, numéros de sécurité sociale et autres données sensibles appartenant à plus de 60 millions d'étudiants et 10 millions d'enseignants, à moins qu'elle ne paie 2,85 millions $ américains en bitcoins, selon les procureurs.

Ils ont déclaré qu'avant de pirater PowerSchool, Matthew Lane et d'autres ont conspiré pour extorquer à une entreprise de télécommunications anonyme le paiement d'une rançon de 200 000 $ US afin d'éviter la divulgation de données volées sur son réseau.

Il a accepté de plaider coupable de cyber-extorsion, d'usurpation d'identité aggravée et d'accès à des ordinateurs protégés sans autorisation. Il risque au moins deux ans de prison.