Illuminate Education, un éditeur de logiciels financé par l’État, fournit les solutions de suivi des élèves des écoles publiques à New York. L’entreprise a été piratée, exposant les données personnelles de près de 820 000 élèves.
Illuminate Education accusée de négligence
Les informations personnelles fournies aux établissements pour constituer le dossier des élèves ont été exposées après le piratage. Les noms entre autres, les dates de naissance ou encore l’origine ethnique ne sont que quelques exemples des données exfiltrées.
Des responsables au sein du département de l’Éducation accusent l’entreprise Illuminate Education d’avoir négligé la sécurité des plateformes critiques comme Skedula et Pupilpath. Ces solutions sont pourtant utilisées par des dizaines d’établissements de la ville de New-York.
Un dispositif de chiffrage de données aurait dû être mis en place pour sécuriser les données, ajoutent-ils. Par ailleurs, Illuminate Education est aussi accusé d’avoir négligé de transmettre à qui de droit et à temps les faits de violation des données.
Le maire de New-York demande une enquête
Selon le maire de New York, Eric Adams, et le chancelier des écoles de New York, David Banks déclarent qu’Illuminate n’a évoqué le piratage que deux mois après les faits. Cela montre que l’entreprise a été plus soucieuse de se protéger que de protéger les élèves. Ils invitent donc le département de l’Éducation à ouvrir une enquête.
«Nous avons également demandé au NYPD (New York City Police Department), au bureau du procureur général de New York et au FBI d’enquêter sur les actions de ceux qui ont illégalement accédé à ces données », ajoutent-ils
Ces responsables exigent également un audit de sécurité complet pour vérifier des améliorations évoquées par Illuminate Education. L’entreprise a accepté de se soumettre à une évaluation de la sécurité des données effectuée par le ministère de l’Éducation de NYC et une autre par une société indépendante.
Une collaboration fragilisée
Illuminate soutient que le hacker n’a pas eu accès à Skedula et Pupilpath. Toutefois, les données de chacune de ces plateformes ont été incluses dans la base de données compromise.
Les responsables de la ville de New York ont déclaré que supprimer ce service dans l’immédiat risque de perturber le fonctionnement des établissements scolaires. Les écoles pourraient continuer à utiliser les services de l’entreprise jusqu’à la fin de l’année.
Les contrats pour l’année scolaire 2022-23 seront ensuite réévalués. Les parents et professeurs interrogés affirment qu’ils n’ont pas le choix et doivent continuer à utiliser les plateformes touchées malgré leur inquiétude.
- Partager l'article :