Une cyberattaque contre Canvas n’aurait pas pu survenir à un pire moment. La plate-forme d'apprentissage, utilisée par les écoles et les universités pour les devoirs, les examens, les notes, le matériel de cours et la communication en classe, est tombée en panne pendant la semaine des examens, laissant les étudiants et les enseignants se démener pour trouver des alternatives.
L'incident a été lié à ShinyHunters, un groupe de piratage connu pour le vol de données et l'extorsion. Selon BleepingComputer, les portails de connexion Canvas de centaines d'établissements ont été dégradés par un message de type rançon avertissant que les données volées des étudiants seraient divulguées à moins que les attaquants ne soient contactés. Le groupe a affirmé avoir obtenu des données liées à des millions d’élèves, d’enseignants et de personnel dans des milliers d’écoles.
Qu'est-ce qui n'a pas fonctionné dans Canvas ?
Instructure, la société derrière Canvas, a déclaré que des pirates informatiques avaient exploité un problème lié à ses comptes Free-for-Teacher, l'obligeant à fermer temporairement la plateforme pour enquêter sur l'affaire. Cette panne a provoqué un chaos majeur pendant la saison des finales en cours, car les étudiants et les enseignants ont été soudainement exclus d'une plateforme.
Lors de la panne initiale, l'écran de connexion de Canvas aurait affiché un message de ShinyHunters affirmant qu'il avait « encore » violé Instructure et avertissant les écoles de prendre contact avant la date limite du 12 mai 2026 pour empêcher la publication des données volées. Le message comprenait également une liste des écoles concernées, indiquant clairement que l'attaque faisait partie d'une tentative d'extorsion.
Pourquoi cela a-t-il frappé si durement les étudiants ?
Ce piratage a conduit certaines institutions à reporter les examens, tandis que d'autres ont demandé aux professeurs de faire preuve de flexibilité en ce qui concerne les délais et les exigences des cours. Pour les étudiants déjà en cours de finale, la panne a créé davantage de stress concernant le matériel d'étude, les soumissions et les calendriers d'examens.
Bien qu'Instructure ait affirmé que les mots de passe ou les informations financières n'avaient pas été compromis lors de cette attaque, les pirates ont eu accès à des millions de noms d'utilisateur, d'adresses e-mail, de cartes d'étudiant et de messages internes. Ces informations pourraient facilement être utilisées pour des attaques de phishing mentionnant de véritables classes, écoles ou instructeurs.
N'avons-nous pas déjà vu ShinyHunters ?
ShinyHunters a été associé à plusieurs violations majeures dans le passé, notamment des incidents impliquant Ticketmaster et Rockstar. Même Instructure a déjà eu des affrontements avec le groupe de hackers. En septembre 2025, ShinyHunters a ciblé l'environnement Salesforce d'Instructure via l'ingénierie sociale pour accéder aux systèmes d'entreprise, mais Instructure a déclaré qu'aucune donnée sur les produits Canvas n'avait été consultée et que les informations exposées étaient principalement des coordonnées professionnelles publiques.
Et maintenant ?
Le retour de Canvas ne met pas fin au problème. Les pirates informatiques détiennent toujours les données de millions d’utilisateurs contre rançon, ce qui signifie que le risque demeure. Cela dit, ShinyHunters aurait supprimé Instructure de son portail « Pay or Leak », suggérant que des négociations pourraient être en cours.
L’attaque devrait être un signal d’alarme pour toutes les écoles qui s’appuient sur quelques plateformes numériques pour organiser les cours, les examens et la communication. Ces outils sont désormais essentiels au fonctionnement des écoles, ce qui signifie qu'elles ont besoin d'une cybersécurité renforcée pour protéger les données des élèves et de plans de sauvegarde en cas de nouvelle panne ou attaque.
