Le groupe ShinyHunters a compromis les portails de connexion Canvas d’environ 330 établissements scolaires, affichant un message d’extorsion à la place des pages de connexion habituelles. La plateforme Canvas, éditée par Instructure, a été mise hors ligne par la suite.
Cette action s’inscrit dans le prolongement d’une première attaque révélée la semaine précédente, lors de laquelle des pirates avaient revendiqué le vol de 280 millions de dossiers appartenant à des étudiants et membres du personnel de milliers d’établissements.
A lire aussi
- 7 millions d’Américains exposés : leurs données santé filent vers Meta et TikTok
- iOS 26.5 : chiffrement RCS de bout en bout et pub Maps dans la même mise à jour
Une défiguration visible dans l’application et sur le web
Les pages de connexion modifiées sont restées visibles pendant environ trente minutes avant qu’Instructure ne retire le service. Le même message a également été affiché dans l’application mobile Canvas.
Le message revendiqué par ShinyHunters accusait Instructure de ne pas avoir donné suite à leurs premières tentatives de contact, se contentant selon eux de correctifs de sécurité insuffisants. Les écoles visées étaient invitées à contacter les attaquants via la messagerie chiffrée TOX pour négocier.
La date limite fixée dans le message est le 12 mai 2026. Passé ce délai, ShinyHunters menaçait de publier l’ensemble des données volées si aucune négociation n’était engagée.
Des données sensibles issues des API de Canvas
Lors de la première intrusion, ShinyHunters aurait utilisé des fonctions d’export de données et des interfaces de programmation (API) intégrées à Canvas pour collecter les informations. Les données concernées comprendraient des dossiers utilisateurs, des messages privés et des informations d’inscription.
Instructure a confirmé qu’un vol de données avait bien eu lieu lors de cette première attaque, tout en indiquant que l’enquête était toujours en cours. La société n’a pas précisé si elle avait l’intention de notifier les étudiants et personnels affectés.
Selon les chiffres avancés lors de la première compromission, les données concerneraient des étudiants et personnels liés à 8 809 écoles, universités et plateformes éducatives utilisant Canvas comme système de gestion des apprentissages.
Canvas, une cible de choix dans l’éducation
Canvas est l’un des systèmes de gestion des apprentissages les plus répandus dans l’enseignement supérieur et les établissements scolaires de la maternelle au lycée. Il sert à organiser les cours, les devoirs, les évaluations et les échanges entre étudiants et enseignants.
Son adoption massive en fait une cible particulièrement attractive pour les groupes criminels cherchant à maximiser la portée de leurs opérations d’extorsion. Une seule intrusion chez le fournisseur peut toucher des centaines d’établissements simultanément.
Instructure reste silencieux face aux questions
Malgré plusieurs tentatives de contact, Instructure n’a pas répondu aux questions posées par les médias spécialisés sur cette seconde attaque, ni sur la première. Aucune communication officielle sur la notification des victimes n’a été publiée à ce stade.
Cette absence de réponse publique intervient alors que des millions de personnes concernées par le vol de données attendent des informations sur les risques liés à l’exposition potentielle de leurs données personnelles.
L’affaire illustre la vulnérabilité des prestataires technologiques centraux dans le secteur éducatif, où une compromission unique peut se propager instantanément à des centaines d’institutions partenaires.
Source : Bleeping Computer
