ShinyHunters pille 275 millions d'étudiants via Canvas (Instructure)

Les faits

Le 25 avril 2026, le groupe cybercriminel ShinyHunters a compromis les systèmes d'Instructure, l'éditeur américain de la plateforme Canvas Learning Management System (LMS) utilisée par des millions d'étudiants, enseignants et établissements d'enseignement à travers le monde. L'intrusion initiale a exploité une vulnérabilité dans la version "Free-For-Teacher" de Canvas, une variante grand public censée être isolée de l'environnement de production principal. Cette hypothèse d'isolation s'est révélée incorrecte.

ShinyHunters a revendiqué l'exfiltration de 3,65 téraoctets de données portant sur 275 millions d'individus répartis dans 8 809 institutions : universités, ministères de l'éducation, lycées et écoles primaires du monde entier. C'est statistiquement la plus grande violation de données dans le secteur éducatif jamais enregistrée, dépassant largement les incidents précédents comme la compromission de Pearson en 2020 ou celle du district scolaire de Los Angeles en 2022. Les données concernées incluent des noms, adresses e-mail, numéros d'identification étudiants et, selon ShinyHunters, "plusieurs milliards de messages privés" échangés via Canvas.

Le 3 mai 2026, la note de rançon a été relayée sur le site Ransomware.live : ShinyHunters fixait au 6 mai la date limite pour qu'Instructure prenne contact, sous peine de publication publique des données. Le 6 mai, Instructure a publié un communiqué affirmant que "la situation avait été résolue" — une affirmation qui s'est révélée prématurée et inexacte.

Le 7 mai 2026, en pleine période d'examens de fin de semestre dans les universités américaines, ShinyHunters a frappé une seconde fois. Le groupe a remplacé la page de connexion de Canvas par un message de rançon visible publiquement, provoquant une interruption de service massive pour des milliers d'établissements. Des étudiants en plein examen de fin d'année se sont retrouvés bloqués, des professeurs incapables de soumettre les notes. CNN a couvert l'incident en direct, The Register a confirmé le 12 mai 2026 qu'une double intrusion avait eu lieu et que ShinyHunters avait réinitialisé le compte à rebours du paiement.

Le 11 mai 2026, selon Inside Higher Ed, Instructure a finalement cédé et payé la rançon. L'entreprise a déclaré avoir reçu une "confirmation numérique de la destruction des données (shred logs)" et l'assurance "qu'aucun client d'Instructure ne serait extorqué à la suite de cet incident." Instructure a précisé que les données de mots de passe, dates de naissance, numéros de sécurité sociale et informations financières n'auraient pas été comprises dans l'exfiltration.

Malwarebytes et TechCrunch ont cependant nuancé cette affirmation : 275 millions de couples nom/e-mail constituent une ressource précieuse pour des campagnes de phishing ciblé à grande échelle, et les messages privés potentiellement exfiltrés peuvent contenir des informations très sensibles concernant des mineurs. La valeur commerciale de ces données sur les marchés underground est estimée en dizaines de millions de dollars.

Côté français, plusieurs établissements d'enseignement supérieur utilisent Canvas via des contrats avec Instructure ou ses revendeurs locaux. Le CERT-FR a émis un point de situation le 14 mai 2026 recommandant aux établissements français concernés de notifier leurs utilisateurs, de surveiller toute tentative de phishing exploitant les données compromises, et d'activer la double authentification sur tous les comptes Canvas restants.

ShinyHunters est un groupe cybercriminel bien documenté par les forces de l'ordre internationales, responsable d'attaques majeures contre Ticketmaster (560 millions de comptes en 2024) et Santander Bank (30 millions de clients en 2024). Plusieurs membres présumés ont été mis en cause aux États-Unis en 2024, mais le groupe a continué ses opérations. La compromission d'Instructure démontre qu'il conserve une pleine capacité opérationnelle et continue de cibler les plateformes SaaS à très haute valeur de données agrégées, en particulier dans les secteurs éducatif et financier.

Impact et exposition

L'impact affecte directement 275 millions d'utilisateurs dans 8 809 établissements sur les cinq continents. Pour les individus : risque de phishing ciblé, usurpation d'identité académique, exploitation de messages privés à des fins de social engineering. Pour les institutions : risque réputationnel, obligation de notification RGPD à la CNIL dans les 72 heures (article 33) pour les établissements européens, et risque de litiges civils. Les établissements ayant intégré Canvas dans leurs processus d'examen sont particulièrement exposés aux perturbations opérationnelles en cas de nouvelle intrusion.

Recommandations

• Contacter Instructure pour confirmer si vos données d'établissement figurent dans le périmètre de la violation et obtenir la liste précise des données affectées
• Notifier les utilisateurs affectés et activer la réinitialisation forcée des mots de passe Canvas
• Activer l'authentification multifacteur (MFA) sur tous les comptes administrateurs et enseignants Canvas
• Évaluer avec votre DPO l'obligation de notification CNIL sous 72h (RGPD article 33)
• Sensibiliser étudiants et personnels au risque de phishing ciblé via leur adresse e-mail institutionnelle