Les données privées de plus de 400 000 étudiants pourraient être menacées alors que les enquêteurs fédéraux et locaux évaluent les dommages causés par une cyberattaque massive contre le district scolaire unifié de Los Angeles, qui a surmonté un arrêt numérique complet pour ouvrir les écoles comme prévu mardi.

Le district ne savait pas si les informations sur les étudiants (évaluations, notes, horaires de cours, dossiers disciplinaires, rapports sur les handicaps) étaient accessibles par des pirates via le système de gestion des étudiants en ligne du district.

"Nous parcourons toujours les dossiers des étudiants parce que … le système de gestion des étudiants a été touché", a déclaré le surintendant. Alberto Carvalho a déclaré lors d'une conférence de presse au centre-ville, accompagné du maire de Los Angeles Eric Garcetti et du chef de la police de Los Angeles Michel Moore. Il a déclaré que les pirates avaient des compétences en cryptage pour brouiller les pistes et "nous exclure de ce qu'ils ont ou de ce qu'ils ont vu".

"Nous n'avons vu aucune preuve d'accès à des informations sur la santé ou à l'accès à des numéros de sécurité sociale pour les étudiants", a déclaré Carvalho. Le système de paie, a-t-il ajouté, fonctionne également et les données du personnel ne semblent pas avoir été compromises. "Mais tout type d'accès est celui qui nous concerne."

Soulignant la gravité de l'attaque contre le deuxième plus grand district scolaire du pays, une enquête impliquant le FBI, le Département de la sécurité intérieure et les forces de l'ordre locales est en cours. Carvalho a déclaré que l'attaque, découverte samedi à 22h30, avait été lancée par un "outil de ransomware qui a temporairement désactivé les systèmes, en a gelé d'autres et a eu accès à un certain degré de données".

Il y a des indications que le piratage pourrait provenir d'un pays étranger, et Carvalho a déclaré qu'il n'y avait pas eu de demande de rançon.

"Je ne vais pas entrer dans les détails, mais il y a trois pays sur lesquels les enquêteurs ont tracé une certaine piste", a déclaré Carvalho. "Mais cela n'indique pas nécessairement d'où vient l'attaque."

Le personnel du district a rapidement reconnu la violation et a pris des mesures rapides qui auraient pu éviter une catastrophe opérationnelle.

Si le district avait perdu la capacité de gérer sa flotte de bus, "plus de 40 000 de nos élèves n'auraient pas pu se rendre à l'école", a déclaré Carvalho. Si les services alimentaires ou les systèmes de paie avaient été supprimés, l'impact "aurait été important, très perturbateur et débilitant pour notre système scolaire".

Les responsables de district ont peut-être contrecarré le pire résultat en prenant la décision sans précédent de fermer tous les systèmes de district. Mais se remettre de l'arrêt a créé ses propres problèmes - les devoirs et les plans de cours étaient inaccessibles pendant le week-end. Et aucun étudiant ou employé n'a eu accès au système tant qu'il n'a pas pu réinitialiser son mot de passe, un processus qui a commencé vers 9 heures du matin mardi, alors que l'école était déjà ouverte. Les réinitialisations n'étaient pas terminées à la fin de la journée scolaire.

Les districts scolaires sont des cibles vulnérables pour diverses raisons, notamment une préférence pour l'utilisation du financement pour des besoins autres que la cybersécurité, et parce que les systèmes en ligne doivent permettre un accès public. Pour 2021, la société de cybersécurité Emsisoft, qui suit les cyberattaques dans l'éducation et d'autres secteurs, a recensé 88 établissements d'enseignement touchés par les rançongiciels :62 districts scolaires et 26 collèges et universités.

Une attaque locale notable a ciblé le système scolaire de Newhall en 2020. En mai, le système scolaire public de Chicago a annoncé qu'une violation massive des données avait révélé quatre ans de dossiers de près de 500 000 élèves et d'un peu moins de 60 000 employés.

Une récente cyberattaque a ciblé une entreprise, Illuminate Education, dont les clients incluent L.A. Unified et dont les services, selon son site Web, atteignent "plus de 17 millions d'élèves" dans 5 200 écoles et districts scolaires.

Les responsables de L.A. ont déclaré lundi qu'il n'y avait aucun lien apparent entre l'attaque du rançongiciel et la violation d'Illuminate.

Ce qui fait de LAUSD "une cible attrayante", c'est le nombre de personnes concernées lorsque les systèmes de district deviennent indisponibles, a déclaré Clifford Neuman, directeur de l'USC Center for Computer Systems Security. "Cela rend l'organisation impactée potentiellement plus disposée à payer une rançon pour récupérer ses systèmes et encourage les criminels à demander des paiements plus importants."

Les pirates peuvent exiger des rançons à la fois pour restaurer les systèmes et pour empêcher la publication publique de données privées, comme cela s'est produit avec le district scolaire du comté de Clark au Nevada.

L'expert en cybersécurité Brett Callow a déclaré qu'il était "tout à fait possible" qu'une action rapide de L.A. Unified ait énormément aidé.

"Les organisations réalisent parfois qu'elles ont un problème lorsque les systèmes commencent à être chiffrés", a déclaré Callow, analyste des menaces pour Emsisoft.

"Le cryptage est généralement la dernière étape d'une attaque", a-t-il ajouté. En d'autres termes, une quantité massive de données pourrait déjà avoir été volée au moment où le district est intervenu pour empêcher un effondrement opérationnel.

Tard dimanche soir, les autorités ont déterminé que les systèmes les plus vitaux étaient utilisables et Carvalho a décidé d'ouvrir les écoles comme prévu mardi.

"N° 1, nous vivons une journée d'école assez normale, et c'était notre intention", a déclaré Carvalho, s'adressant aux journalistes du Roybal Learning Center.

Mais il y avait des problèmes, surtout en début de journée.

"Certains enseignants ont l'impression qu'ils peuvent changer leur mot de passe LAUSD, puis se connecter, mais le site de mot de passe est en panne", a déclaré un enseignant.

"Je suis incapable de faire mon travail, qui consiste à assurer la présence des élèves à l'école", a déclaré un conseiller en assiduité. "Nous avons des feuilles de présence que nous allons collecter, mais j'appellerais généralement à la maison ou je ferais des visites à domicile pour savoir où se trouvent les étudiants. Malheureusement, n'ayant pas accès à leurs informations, je ne pourrai pas savoir où ces étudiants sont."

L'enseignant de quatrième année, Richard Powels, a pu réinitialiser son mot de passe, mais ses élèves, qui ont dû suivre le processus sur le campus, ont attendu cinq minutes pour accéder au site Web de réinitialisation, puis il n'a pas accepté leurs informations d'identification.

"J'espère que ça ira mieux demain", a déclaré Powels, qui enseigne dans un programme d'aimants à Clifford Street Elementary à Echo Park. Depuis mardi après-midi, "aucun élève ne peut utiliser ses appareils à l'école. Nous avons dû improviser un peu avec nos plans pour nous assurer que tout le monde est engagé et apprend."

Le district n'a annoncé l'attaque que lundi soir car, a déclaré Carvalho, une évaluation critique et une réponse étaient en cours et parce que la divulgation d'informations devait être approuvée par différentes agences jouant un rôle dans l'enquête.

Lorsque le district a reconnu l'attaque, les responsables ont également annoncé une série de mesures pour améliorer la cybersécurité. Ces mesures, a indiqué le district, "ont été prises, seront prises immédiatement ou seront mises en œuvre dès que possible".

La liste comprend :

• Création d'un groupe de travail indépendant sur les technologies de l'information. Il serait chargé d'élaborer des recommandations dans un délai de 90 jours et de fournir des mises à jour mensuelles.
• Déployer du personnel technique dans l'ensemble du vaste système scolaire pour résoudre les problèmes qui surviendront dans les jours à venir.
• Réorganiser les services et les systèmes "pour renforcer la cohérence et renforcer la protection des données".
• Nommer un conseil consultatif d'experts en technologie et nommer un conseiller en technologie qui se concentrera sur les procédures et les pratiques de sécurité, ainsi que sur un examen global des opérations du centre de données
• Ajouter des fonds au budget selon les besoins et améliorer la formation des employés
• Analyser les systèmes avec l'aide des forces de l'ordre fédérales et étatiques

Le chef de la police Moore a déclaré que le risque de cyberattaques ne doit pas être sous-estimé. "C'est la menace n°1 pour notre sécurité, et c'est un ennemi invisible et c'est un ennemi infatigable", a déclaré Moore. "Cela nous oblige tous à travailler ensemble pour identifier ces menaces et ces acteurs et prendre des mesures pour atténuer les dégâts.

"C'est un signal d'alarme, un rappel", a ajouté Moore, "parce que nous sommes tous tellement dépendants de notre cyber-univers."

Garcetti a déclaré que les autorités sont en alerte pour de nouvelles attaques sur les réseaux de la ville. Il a souligné le défi des pirates informatiques, affirmant que la ville devait repousser 1 milliard de cyberattaques chaque mois :"C'est avec un B", a-t-il déclaré.

"Nous sommes tous vulnérables à ces attaques. Si vous êtes un propriétaire de petite entreprise et que vous écoutez cela aujourd'hui, ce ne sont pas seulement de grandes entités comme LAUSD", a déclaré Garcetti.

"Cela peut être et a été de petites entreprises. Ce sont des moyennes et grandes entreprises. Ce sont des agences gouvernementales. Ce sont des organisations à but non lucratif." + Explorer plus loin

L'énorme district de Los Angeles Unified School touché par une cyberattaque

2022 Los Angeles Times.
Distribué par Tribune Content Agency, LLC.