Les documents confidentiels volés aux écoles et mis en ligne par des groupes de rançongiciels sont bruts, intimes et graphiques. Ils décrivent des agressions sexuelles d’élèves, des hospitalisations psychiatriques, des parents abusifs, de l’absentéisme – voire des tentatives de suicide.
“Faites quelque chose, s’il vous plaît”, supplie un élève dans un fichier divulgué, rappelant le traumatisme de se heurter continuellement à un ancien agresseur dans une école de Minneapolis. D’autres victimes parlent d’enurésie nocturne ou de pleurs avant de s’endormir.
Des dossiers de cas complets d’agressions sexuelles contenant ces détails faisaient partie des plus de 300 000 fichiers mis en ligne en mars après que les écoles publiques de Minneapolis, qui accueillent 36 000 élèves, ont refusé de payer une rançon d’un million de dollars. D’autres données exposées comprenaient des dossiers médicaux et des plaintes pour discrimination.
Riches en données numérisées, les écoles du pays sont des cibles privilégiées pour les cybercriminels éloignés qui localisent et récupèrent scrupuleusement des fichiers sensibles.
Les districts, souvent à court d’argent, ne sont pas seulement mal équipés pour se défendre, mais aussi pour répondre de manière diligente et transparente en cas d’attaque, surtout lorsqu’ils luttent pour aider les élèves à rattraper le retard dû à la pandémie et pour faire face à la diminution des budgets.
Plusieurs mois après l’attaque de Minneapolis, les administrateurs n’ont pas tenu leur promesse d’informer les victimes individuelles. Contrairement aux hôpitaux, il n’existe aucune loi fédérale exigeant cette notification de la part des écoles.
L’Associated Press a contacté les familles de six élèves dont les dossiers d’agression sexuelle avaient été exposés. Le message d’un journaliste était la première fois que quelqu’un les alertait.
“La vérité, c’est qu’ils ne nous ont rien notifié du tout”, a déclaré une mère dont le dossier de cas de son fils contient 80 documents.
Même lorsque les écoles détectent une attaque de rançongiciel en cours, les données sont généralement déjà parties. C’est ce qu’a fait le district scolaire unifié de Los Angeles lors du week-end de la fête du Travail, pour constater ensuite que les documents privés de plus de 1 900 anciens élèves – y compris des évaluations psychologiques et des dossiers médicaux – avaient été divulgués en ligne. Ce n’est qu’en février que les responsables du district ont révélé l’ampleur complète de l’atteinte.
Il s’avère que l’héritage durable des attaques de rançongiciels contre les écoles ne réside pas dans les fermetures d’établissements, les coûts de récupération ou même les primes d’assurance cybercroissantes. Il s’agit du traumatisme pour le personnel, les étudiants et les parents causé par l’exposition en ligne de dossiers privés – que l’AP a découvert sur Internet ou le dark web.
“Une quantité massive d’informations est publiée en ligne et personne ne s’intéresse à voir à quel point tout cela est grave. Ou, s’il y a quelqu’un qui regarde, les résultats ne sont pas rendus publics”, a déclaré l’analyste Brett Callow de la société de cybersécurité Emsisoft.
D’autres grands districts récemment touchés par le vol de données comprennent San Diego, Des Moines et Tucson, en Arizona. Bien que la gravité de ces piratages reste incertaine, tous ont été critiqués soit pour avoir tardé à admettre avoir été victimes d’un rançongiciel, soit pour avoir tardé à avertir les victimes – ou les deux.
En matière de cybersécurité, les écoles accusent un retard
Alors que d’autres cibles de rançongiciels ont renforcé et segmenté leurs réseaux, cryptant les données et imposant une authentification multi-facteurs, les systèmes scolaires ont été plus lents à réagir.
Il est probable que plus de 5 millions d’élèves américains ont été touchés par des rançongiciels à ce jour, les attaques contre les districts étant en hausse cette année, selon l’analyste Allan Liska de la société de cybersécurité Recorded Future. Près d’un tiers des districts américains avaient été piratés d’ici la fin de 2021, selon une enquête du Center for Internet Security, un organisme à but non lucratif financé par le gouvernement fédéral.
Il y a à peine trois ans, les criminels ne saisissaient pas régulièrement des données lors d’attaques de rançongiciels, selon TJ Sayers, responsable de la cybersécurité au Center for Internet Security. Aujourd’hui, c’est courant, a-t-il déclaré, et une grande partie de ces données est vendue sur le dark web.
Les criminels du vol de Minneapolis ont été particulièrement agressifs. Ils ont partagé des liens vers les données volées sur Facebook, Twitter, Telegram et le dark web, que les navigateurs standard ne peuvent pas accéder.
Les parents de Minneapolis informés par l’AP des plaintes d’agression sexuelle divulguées se sentent doublement victimes. Leurs enfants ont lutté contre le SSPT, et certains ont même quitté leur école. Et maintenant ça.
“La famille est consternée d’apprendre que ces informations très sensibles sont maintenant disponibles en permanence sur internet, pour que les futurs amis, intérêts romantiques, employeurs et autres les découvrent”, a déclaré Jeff Storms, avocat d’une des familles. La politique de l’AP est de ne pas identifier les victimes d’abus sexuels.
Crystina Lugo-Beach, porte-parole des écoles de Minneapolis, n’a pas précisé combien de personnes ont été contactées jusqu’à présent et n’a pas répondu aux autres questions de l’AP sur l’attaque.
Malgré la frustration des parents et des enseignants, les écoles sont régulièrement conseillées par les équipes d’intervention en cas d’incident pour éviter d’être plus transparentes en raison de problèmes de responsabilité légale et de négociations de rançons, selon Callow d’Emsisoft. Les responsables scolaires de Minneapolis ont apparemment suivi ce manuel, en décrivant initialement l’attaque du 17 février de manière cryptique comme un “incident système”, puis comme des “difficultés techniques” et plus tard comme un “événement de cryptage”.
L’étend
Retour à l’accueil Worldnet
