Matthew Lane, 19 ans, a conclu mardi un accord avec le procureur fédéral pour mettre fin aux poursuites engagées contre lui devant le tribunal fédéral de Worcester, dans le Massachusetts, pour avoir participé à un complot visant à pirater PowerSchool et une entreprise de télécommunications afin d'extorquer de l'argent à leurs victimes en bitcoins.
Ces accusations marquent la première fois que les autorités identifient les responsables de la violation de données chez PowerSchool, qui semble avoir exposé les données de dizaines de millions d'enfants américains. Le logiciel PowerSchool est utilisé par plus de 18 000 écoles pour soutenir plus de 60 millions d'élèves à l'échelle nationale.
Les procureurs n'ont pas nommé PowerSchool dans les documents judiciaires, mais une personne proche du dossier a confirmé que l'entreprise faisait partie des victimes. Un porte-parole de PowerSchool a renvoyé les questions au bureau du procureur fédéral.
L'avocat de M. Lane n'a pas répondu aux demandes de commentaires.
PowerSchool, basée à Folsom, en Californie, a révélé la violation en janvier. Elle a déclaré en avoir pris connaissance le 28 décembre 2024 et avoir décidé de payer une rançon, estimant qu'il s'agissait de la meilleure option pour empêcher la divulgation des données.
La société a déclaré au début du mois avoir appris que plusieurs districts scolaires avaient également reçu des demandes de rançon liées aux mêmes données.
Selon les procureurs, M. Lane aurait utilisé les identifiants d'un sous-traitant de PowerSchool en septembre pour accéder au réseau informatique de l'entreprise et obtenir des données sur les élèves et les enseignants.
En décembre, il a transféré les données sur les élèves et le personnel enseignant vers un serveur informatique qu'il louait à un fournisseur de stockage en nuage en Ukraine, selon les procureurs.
Quelques jours plus tard, PowerSchool a reçu une demande de rançon menaçant de divulguer les noms, adresses, numéros de sécurité sociale et autres données sensibles de plus de 60 millions d'élèves et 10 millions d'enseignants si elle ne versait pas 2,85 millions de dollars en bitcoins, selon les procureurs.
Ils ont déclaré qu'avant de pirater PowerSchool, Lane et d'autres personnes avaient conspiré pour extorquer une somme de 200 000 dollars à une société de télécommunications non identifiée afin d'éviter la divulgation de données volées sur son réseau.
Il a accepté de plaider coupable pour cyber-extorsion, usurpation d'identité aggravée et accès non autorisé à des ordinateurs protégés. Il risque au moins deux ans de prison. (Reportage de Nate Raymond à Boston ; reportage supplémentaire d'AJ Vicens à Detroit ; édité par Alexia Garamfalvi et Richard Chang)
