Le logiciel que de nombreux districts scolaires utilisent pour suivre les progrès des élèves peut enregistrer des informations extrêmement confidentielles sur les enfants : “Déficience intellectuelle”. “Perturbation émotionnelle.” “Sans-abri.” “Perturbateur.” “Défi.” “Auteur.” “Parler excessivement.” “Devrait assister au tutorat.”
Aujourd’hui, ces systèmes font l’objet d’un examen approfondi après une récente cyberattaque contre Illuminate Education, l’un des principaux fournisseurs de logiciels de suivi des étudiants, qui a affecté les informations personnelles de plus d’un million d’étudiants actuels et anciens dans des dizaines de districts – y compris à New York et Los Angeles, le plus grand système scolaire public du pays.
Les responsables ont déclaré que dans certains districts, les données comprenaient les noms, les dates de naissance, les races ou les ethnies et les résultats des tests des élèves. Au moins un district a déclaré que les données comprenaient des informations plus intimes telles que les taux de retard des étudiants, le statut de migrant, les incidents de comportement et les descriptions des handicaps.
L’exposition de telles informations privées pourrait avoir des conséquences à long terme.
“Si vous êtes un mauvais élève et que vous avez eu des problèmes de discipline et que cette information est maintenant disponible, comment vous en remettez-vous?” a déclaré Joe Green, un professionnel de la cybersécurité et parent d’un lycéen d’Erie, dans le Colorado, dont le lycée de son fils a été touché par le piratage. « C’est votre avenir. C’est entrer à l’université, trouver un emploi. C’est tout.
Au cours de la dernière décennie, les entreprises technologiques et les réformateurs de l’éducation ont poussé les écoles à adopter des systèmes logiciels capables de cataloguer et de catégoriser les débordements, l’absentéisme et les difficultés d’apprentissage des élèves en classe. L’intention de ces outils est bien intentionnée : aider les éducateurs à identifier et à intervenir auprès des élèves à risque. Cependant, à mesure que ces systèmes de suivi des élèves se sont répandus, les cyberattaques contre les fournisseurs de logiciels scolaires se sont également propagées, y compris un piratage récent qui a touché les écoles publiques de Chicago, le troisième plus grand district du pays.
Maintenant, certains experts en cybersécurité et en confidentialité disent que la cyberattaque contre Illuminate Education équivaut à un avertissement pour les régulateurs de l’industrie et du gouvernement. Bien qu’il ne s’agisse pas du plus gros piratage d’une entreprise de technologie éducative, ces experts se disent troublés par la nature et l’étendue de la violation de données – qui, dans certains cas, impliquait des détails personnels délicats sur des étudiants ou des données d’étudiants datant de plus d’une décennie. . À un moment où certaines entreprises de technologie de l’éducation ont amassé des informations sensibles sur des millions d’écoliers, disent-ils, les garanties pour les données des élèves semblent totalement inadéquates.
“Il y a vraiment eu un échec épique”, a déclaré Hector Balderas, le procureur général du Nouveau-Mexique, dont le bureau a poursuivi des entreprises technologiques pour violation de la vie privée d’enfants et d’étudiants.
Dans une récente interview, M. Balderas a déclaré que le Congrès n’avait pas réussi à mettre en place des protections de données modernes et significatives pour les étudiants, tandis que les régulateurs n’avaient pas tenu les entreprises de technologie de l’éducation responsables d’avoir bafoué la confidentialité et la sécurité des données des étudiants.
“Il y a absolument un manque d’application et de responsabilité”, a déclaré M. Balderas.
Dans un communiqué, Illuminate a déclaré qu’il n’avait “aucune preuve que des informations aient fait l’objet d’une utilisation abusive réelle ou tentée” et qu’il avait “mis en œuvre des améliorations de sécurité pour empêcher” de nouvelles cyberattaques.
Il y a près d’une décennie, des experts en confidentialité et en sécurité ont commencé à avertir que la diffusion d’outils sophistiqués d’exploration de données dans les écoles dépassait rapidement les protections des informations personnelles des élèves. Les législateurs se sont précipités pour réagir.
Depuis 2014, la Californie, le Colorado et des dizaines d’autres États ont adopté des lois sur la confidentialité et la sécurité des données des étudiants. En 2014, des dizaines de fournisseurs de technologies de l’éducation de la maternelle à la 12e année ont signé un engagement national de confidentialité des étudiants, promettant de maintenir un «programme de sécurité complet».
Les partisans de l’engagement ont déclaré que la Federal Trade Commission, qui contrôle les pratiques trompeuses en matière de confidentialité, serait en mesure d’obliger les entreprises à respecter leurs engagements. Le président Obama a approuvé l’engagement, louant les entreprises participantes lors d’un important discours sur la confidentialité à la FTC en 2015.
La FTC inflige depuis longtemps des amendes aux entreprises pour violation de la vie privée des enfants sur des services grand public tels que YouTube et TikTok. Malgré de nombreux rapports d’entreprises de technologie éducative ayant des pratiques problématiques en matière de confidentialité et de sécurité, l’agence n’a pas encore appliqué l’engagement de confidentialité des étudiants de l’industrie.
En mai, la FTC a annoncé que les régulateurs avaient l’intention de sévir contre les entreprises de technologie de l’éducation qui enfreignent une loi fédérale – la loi sur la protection de la vie privée en ligne des enfants – qui exige que les services en ligne destinés aux enfants de moins de 13 ans protègent leurs données personnelles. L’agence mène un certain nombre d’enquêtes non publiques sur des entreprises de technologie de l’éducation, a déclaré Juliana Gruenwald Henderson, porte-parole de la FTC.
Basé à Irvine, en Californie, Illuminate Education est l’un des principaux fournisseurs nationaux de logiciels de suivi des étudiants.
Le site de la société indique que ses services atteignent plus de 17 millions d’élèves dans 5 200 districts scolaires. Les produits populaires incluent un système de prise de présence et un carnet de notes en ligne ainsi qu’une plate-forme scolaire, appelée eduCLIMBER, qui permet aux éducateurs d’enregistrer le «comportement socio-émotionnel» des élèves et de coder les enfants en vert («sur la bonne voie») ou rouge (“pas sur la bonne voie”).
Illuminate a promu sa cybersécurité. En 2016, la société a annoncé qu’elle avait signé l’engagement de l’industrie de montrer son «soutien à la protection» des données des étudiants.
Des inquiétudes concernant une cyberattaque sont apparues en janvier après que certains enseignants des écoles de la ville de New York ont découvert que leurs systèmes d’assiduité et de carnets de notes en ligne avaient cessé de fonctionner. Illuminate a déclaré avoir temporairement mis ces systèmes hors ligne après avoir pris connaissance d’une “activité suspecte” sur une partie de son réseau.
Le 25 mars, Illuminate a informé le district que certaines bases de données de l’entreprise avaient fait l’objet d’un accès non autorisé, a déclaré Nathaniel Styer, attaché de presse des écoles publiques de New York. L’incident, a-t-il dit, a touché environ 800 000 élèves actuels et anciens dans environ 700 écoles locales.
Pour les élèves de New York concernés, les données comprenaient les noms et prénoms, le nom de l’école et le numéro d’identification de l’élève ainsi qu’au moins deux des éléments suivants : date de naissance, sexe, race ou origine ethnique, langue maternelle et informations sur la classe comme le nom de l’enseignant. Dans certains cas, le statut d’invalidité des élèves — c’est-à-dire, qu’ils aient reçu ou non des services d’éducation spécialisée — a également été touché.
Les responsables de la ville de New York se sont dits indignés. En 2020, Illuminate a signé un accord strict sur les données avec le district exigeant que l’entreprise protège les données des étudiants et informe rapidement les responsables du district en cas de violation de données.
Les responsables de la ville ont demandé au bureau du procureur général de New York et au FBI d’enquêter. En mai, le département de l’éducation de la ville de New York, qui mène sa propre enquête, a demandé aux écoles locales de cesser d’utiliser les produits Illuminate.
“Nos étudiants méritaient un partenaire qui se concentrait sur une sécurité adéquate, mais au lieu de cela, leurs informations ont été laissées en danger”, a déclaré le maire Eric Adams dans un communiqué au New York Times. M. Adams a ajouté que son administration travaillait avec les régulateurs “alors que nous poussons à tenir l’entreprise pleinement responsable de ne pas fournir à nos étudiants la sécurité promise”.
Le piratage Illuminate a touché 174 000 élèves supplémentaires dans 22 districts scolaires de l’État, selon le Département de l’éducation de l’État de New York, qui mène sa propre enquête.
Au cours des quatre derniers mois, Illuminate a également informé plus d’une douzaine d’autres districts – dans le Connecticut, la Californie, le Colorado, l’Oklahoma et l’État de Washington – de la cyberattaque.
Illuminate a refusé de dire combien de districts scolaires et d’élèves ont été touchés. Dans un communiqué, la société a déclaré qu’elle avait travaillé avec des experts externes pour enquêter sur l’incident de sécurité et avait conclu que les informations sur les étudiants étaient “potentiellement soumises à un accès non autorisé” entre le 28 décembre 2021 et le 8 janvier 2022. À ce moment-là, selon le communiqué, Illuminate avait cinq employés à temps plein dédiés aux opérations de sécurité.
Illuminez les données conservées des étudiants sur le système de stockage en ligne d’Amazon Web Services. Les experts en cybersécurité ont déclaré que de nombreuses entreprises avaient par inadvertance rendu leurs compartiments de stockage AWS faciles à trouver pour les pirates, en nommant les bases de données d’après les plates-formes ou les produits de l’entreprise.
À la suite du piratage, Illuminate a déclaré avoir embauché six employés supplémentaires à temps plein pour la sécurité et la conformité, dont un responsable de la sécurité de l’information.
Après la cyberattaque, la société a également effectué de nombreuses mises à niveau de sécurité, selon une lettre Illuminate envoyée à un district scolaire du Colorado. Entre autres changements, la lettre indique qu’Illuminate a institué une surveillance continue par des tiers sur l’ensemble de ses AW.S. comptes et applique désormais une sécurité de connexion améliorée pour ses fichiers AWS.
Mais lors d’un entretien avec un journaliste, Greg Pollock, vice-président de la cyber-recherche chez UpGuard, une société de gestion des risques de cybersécurité, a trouvé l’un des seaux AWS d’Illuminate avec un nom facilement devinable. Le journaliste a ensuite trouvé un deuxième bucket AWS nommé d’après une plate-forme Illuminate populaire pour les écoles.
Illuminate a déclaré qu’il ne pouvait pas fournir de détails sur ses pratiques de sécurité “pour des raisons de sécurité”.
Après une série de cyberattaques contre les entreprises de technologie éducative et les écoles publiques, les responsables de l’éducation ont déclaré qu’il était temps pour Washington d’intervenir pour protéger les étudiants.
“Les changements au niveau fédéral sont en retard et pourraient avoir un impact immédiat et national”, a déclaré M. Styer, le porte-parole des écoles de New York. Le Congrès, par exemple, pourrait modifier les règles fédérales de confidentialité de l’éducation pour imposer des exigences de sécurité des données aux fournisseurs scolaires, a-t-il déclaré. Cela permettrait aux agences fédérales d’imposer des amendes aux entreprises qui ne se conforment pas.
Une agence a déjà sévi – mais pas au nom des étudiants.
L’année dernière, la Securities and Exchange Commission a accusé Pearson, un important fournisseur de logiciels d’évaluation pour les écoles, d’avoir trompé les investisseurs au sujet d’une cyberattaque au cours de laquelle les dates de naissance et les adresses électroniques de millions d’étudiants ont été volées. Pearson a accepté de payer 1 million de dollars pour régler les accusations.
M. Balderas, le procureur général, a déclaré qu’il était furieux que les régulateurs financiers aient agi pour protéger les investisseurs dans l’affaire Pearson – même si les régulateurs de la confidentialité n’ont pas pris les devants pour les écoliers victimes de cybercriminalité.
“Mon inquiétude est qu’il y aura de mauvais acteurs qui exploiteront le cadre d’une école publique, surtout quand ils pensent que les protocoles technologiques ne sont pas très robustes”, a déclaré M. Balderas. “Et je ne sais pas pourquoi le Congrès n’est pas encore terrifié.”