Accueil / Technologie / Cyberattaque : 9000 écoles et 275 millions d’individus touchés par le vol de données sur Canvas

Cyberattaque : 9000 écoles et 275 millions d’individus touchés par le vol de données sur Canvas

Aucun commentaire
10 mai 2026 20h48
cyberattack, data breach, Canvas, ShinyHunters, education

Cyberattaque majeure : 9000 écoles et 275 millions de personnes affectées par le vol de données sur la plateforme Canvas

Une intrusion informatique d’une ampleur considérable a ciblé Instructure, l’entreprise derrière la plateforme éducative Canvas, utilisée par des milliers d’établissements scolaires à travers le monde. Le groupe de pirates informatiques ShinyHunters revendique le vol de 3,65 téraoctets de données, compromettant ainsi les informations de près de 275 millions d’individus répartis dans 8 809 écoles sur quatre continents. L’ultimatum fixé par les cybercriminels pour le paiement d’une rançon expire le 12 mai, laissant les institutions scolaires et les personnes concernées dans une situation critique, d’autant plus que les recours juridiques directs sont limités.

Une intrusion et une exfiltration massives de données

L’attaque a eu lieu le 25 avril, mais ce n’est que le 1er mai qu’Instructure a reconnu publiquement l’incident, le déclarant alors maîtrisé. Cependant, le 7 mai, les portails de connexion d’universités prestigieuses telles que Harvard, Princeton, l’Université de Pennsylvanie, ainsi que celle de Melbourne, ont commencé à afficher des messages de rançon émanant du groupe ShinyHunters. Ce même groupe est connu pour d’autres méfaits, y compris le piratage d’un portail de la Commission européenne.

Les pirates affirment avoir dérobé des informations personnelles sensibles, incluant les noms, adresses e-mail, identifiants d’étudiants, et même des messages privés échangés entre élèves et enseignants. Bien qu’Instructure assure que les mots de passe et les données financières ont été épargnés, l’étendue de la fuite reste alarmante. Huit pays ont déjà signalé des perturbations, et plusieurs universités australiennes ont dû accorder des délais supplémentaires à leurs étudiants pour leurs examens de fin d’année en raison de ces incidents.

Une nouvelle stratégie de rançonnage

Contrairement aux tactiques habituelles où un paiement unique est exigé du fournisseur, ShinyHunters a adopté une approche différente dans cette affaire. Après l’échec du premier ultimatum, les pirates ont d’abord affiché des messages de rançon sur les portails de près de 330 établissements. Par la suite, ils ont intensifié leurs actions en optant pour un chantage ciblé, école par école.

Le profil troublant des pirates

Ce qui rend cette affaire particulièrement préoccupante, c’est le profil des auteurs présumés. Selon Luke Connolly, un analyste chez Emsisoft, ShinyHunters serait composé d’adolescents et de jeunes adultes basés aux États-Unis et au Royaume-Uni, ayant formé leur groupe en 2020. Ce collectif a déjà été impliqué dans d’autres cyberattaques notables, comme celle de Rockstar Games en avril 2026, orchestrée via un outil de monitoring connecté aux serveurs Snowflake, pour laquelle une rançon de 200 000 dollars avait été demandée.

Un cadre légal protecteur mais contraignant pour les victimes

Aux États-Unis, la loi FERPA (Family Educational Rights and Privacy Act) encadre la confidentialité des données scolaires depuis 1974. Cependant, une décision de la Cour suprême en 2002 a rendu difficile, voire impossible, pour les étudiants et les parents d’engager des poursuites judiciaires directes en cas de violation de cette loi. Les seules voies de recours se limitent à une plainte auprès du Département de l’Éducation, dont la sanction maximale peut être une suspension des financements fédéraux pour l’établissement concerné.

Dans ce cas précis, les données étant détenues par le sous-traitant Instructure, l’entreprise n’est atteinte par la loi fédérale que de manière indirecte. Bien qu’un cabinet d’avocats ait lancé une enquête en vue d’un recours collectif, celui-ci porterait sur une obligation contractuelle entre l’éditeur et l’école, plutôt que sur un droit fondamental des élèves.

La plateforme Canvas est particulièrement stratégique, puisqu’elle est utilisée par 41 % des universités américaines. Les groupes de pirates comme ShinyHunters ciblent de plus en plus ce type de fournisseurs centraux, car une seule intrusion peut ouvrir l’accès à un grand nombre de clients en aval. L’ajout de messages privés entre élèves mineurs et enseignants dans le butin dérobé constitue une spécificité préoccupante de cette attaque, augmentant le risque pour les plus jeunes.

À l’heure actuelle, aucune annonce officielle d’Instructure n’a été faite concernant une éventuelle négociation ou un paiement de rançon. L’issue de cette crise dépendra des décisions prises par l’entreprise dans les jours à venir, face à la pression croissante des pirates et à l’inquiétude grandissante des millions de personnes concernées.

Articles similaires

a close up of a computer screen with the words threads on instagram
Meta introduit un mode « incognito » pour ses chatbots IA afin de ...
16 mai 2026
Google logo neon light signage
Fin des 15 Go gratuits sur Gmail, Google Drive et Google Photos : ...
15 mai 2026
gmail, google storage, cloud storage
Gmail : 15 Go de stockage gratuit conditionnés à la vérification ...
15 mai 2026

Répondre

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Oh bonjour 👋
Ravi de vous rencontrer.

Inscrivez-vous pour recevoir chaque jour les dernières actualités dans votre boîte de réception.

Nous ne spammons pas ! Consultez notre politique de confidentialité pour plus d’informations