Des données personnelles d’enfants du Centre de services scolaire des Appalaches retrouvées sur le web clandestin

Des informations sensibles volées au Centre de service scolaire des Appalaches lors de la cyberattaque dont il a été victime le 25 août 2025, circulent sur le Dark Web (web clandestin). Des renseignements personnels concernant des enfants mineurs des différentes écoles du CSSA ont été compromis.

Dans une mise à jour de cette cyberattaque, le CSSA a envoyé une lettre, le 29 mai 2026, à un certain nombre de parents, qui les avertit que des informations concernant leurs enfants, ont été retrouvées sur le Dark Web. Notamment, des listes d’élèves qui devaient se présenter à des examens, datées de l’année scolaire 2024-2025 et qui divulguent les noms, prénoms et numéros de code permanents du ministère de l’Éducation des enfants mineurs concernés.

Aussi, une foule d’autres informations, telles que leur numéro de fiche, de groupe repère, un code de difficulté, et des informations sur les supports offerts lors des examens. Ces données avaient été retrouvées sur le web clandestin dans les jours qui ont suivi l’attaque. D’autres auraient été coulées le 10 septembre dernier, par les auteurs de l’attaque.

Un des parents concernés a réagi : « pour l’heure, je ne suis pas être très inquiète, mais je ne suis pas certaine de comprendre quelles données ont été volées concrètement, donc je vais probablement leur poser la question pour en savoir plus », a-t-elle dit, précisant que ce n’est pas la première lettre qu’elle reçoit du CSSA. Elle ajoute, que cette cette ne concerne qu’un de ses enfants.

Le CSSA affirme avoir « rapidement identifié et contré cette cyberattaque, dès le 25 août et avoir pris les mesures nécessaires pour
protéger ses installations informatiques et les données qu’elles contiennent ». Cependant, un certain nombre de données n’ont pas pu être protégées.

Ce grave incident de confidentialité avait bien sûr été communiqué aux autorités policières. Le Centre de services scolaire des Appalaches avait alors aussi avisé la Commission d’accès à l’information de cet incident, conformément à ses obligations légales. « Depuis la cyberattaque, les équipes du CSSA mettent tous les efforts nécessaires pour identifier les renseignements personnels et les personnes concernées par la cyberattaque. »

Le Centre de service scolaire offre aux parents identifiés, dans la lettre qui leur a été envoyée, de leur transmettre une copie du document concernant leur enfant mineur. Le CSSA qui ajoute que des lettres similaires à celle datée du 29 mai 2026 pourraient leur être envoyées, dans la mesure où d’autres renseignements personnels concernant leur enfant mineur seraient coulés. « Le CSSA envoie une lettre différente pour chaque catégorie de documents publiés sur le Web caché. »

Le CSSA qui précise que son enquête se poursuit et qu’il met en place les mesures nécessaires pour réduire les risques qu’un tel événement se reproduise.