En bref

  • ShinyHunters revendique l'exfiltration de 275 millions d'enregistrements liés à Instructure (plateforme Canvas)
  • Près de 9 000 établissements scolaires et universitaires concernés, principalement aux États-Unis et au Canada
  • Ultimatum fixé au 12 mai 2026 : les RSSI doivent évaluer leur exposition et prévenir les utilisateurs sans attendre

Les faits

Le 1er mai 2026, Instructure, éditeur de la plateforme d'apprentissage Canvas utilisée par environ 8 900 universités, lycées et districts scolaires dans le monde, a publié un communiqué reconnaissant un « incident de cybersécurité orchestré par un acteur criminel ». Quelques heures plus tard, le groupe ShinyHunters a revendiqué la responsabilité de l'attaque sur son canal de fuite et a publié un échantillon contenant plusieurs centaines de milliers de lignes pour prouver l'authenticité du vol. Selon les revendications du groupe, plusieurs téraoctets de données ont été exfiltrés et concernent 275 millions d'utilisateurs au total.

Les données compromises confirmées par Instructure incluent les noms, adresses e-mail et numéros d'identifiants étudiants, ainsi que des messages échangés entre élèves, enseignants et personnel administratif. L'éditeur affirme qu'aucun mot de passe, date de naissance, identifiant gouvernemental ni donnée financière n'a été inclus dans les volumes accédés. ShinyHunters va plus loin et prétend détenir « des milliards de messages privés » qui contiendraient des numéros de téléphone et des adresses postales communiqués dans les conversations entre utilisateurs.

Le 7 mai, l'attaque est devenue publique pour les utilisateurs lorsque la page de connexion de Canvas a été remplacée par une note de rançon visible pendant plusieurs heures. Le message exigeait que les établissements concernés contactent le groupe avant le jeudi 12 mai à minuit UTC, faute de quoi l'intégralité des données serait diffusée. Cornell University, plusieurs campus du système Pennsylvania, des universités du Missouri et de nombreux districts scolaires ont signalé des coupures d'accès comprises entre quatre et huit heures pendant la phase la plus aiguë de l'incident.

Le vecteur d'entrée n'a pas été officiellement confirmé, mais les analyses techniques publiées par plusieurs cabinets de réponse à incident pointent vers un compromis de comptes privilégiés via des cookies de session OAuth volés à des sous-traitants ayant accès aux environnements de support. Cette technique correspond au mode opératoire historique de ShinyHunters, déjà observé lors des intrusions visant Snowflake en 2024 et Ticketmaster la même année. Le groupe avait également ciblé Salesforce courant 2025 selon des notes de SOCRadar et Recorded Future.

Instructure a annoncé vendredi 8 mai que la plateforme Canvas était « entièrement remise en ligne » après application de correctifs de sécurité, rotation des secrets et invalidation de l'ensemble des sessions actives. L'éditeur a également mandaté Mandiant pour conduire l'investigation forensique et a notifié le FBI ainsi que la Federal Trade Commission. Du côté français, aucun établissement public de l'enseignement supérieur n'utilise Canvas comme LMS principal, mais plusieurs business schools privées et campus internationaux basés en France ont confirmé être impactés via leur tenant.

L'attaque s'inscrit dans une vague soutenue de compromissions ciblant le secteur éducatif américain depuis le début de l'année. PowerSchool avait subi en janvier 2025 une fuite massive sur ses bases de données K-12. Le secteur est désormais considéré comme l'une des trois cibles prioritaires des groupes opérant en double extorsion, derrière la santé et les services managés, selon le rapport trimestriel publié par Sekoia. Les volumes de données concentrées par les LMS et la faiblesse historique des budgets cybersécurité dans l'éducation expliquent cette montée en pression.

Côté juridique, la menace pour Instructure est lourde. La plateforme étant soumise au COPPA pour les utilisateurs de moins de 13 ans, à la FERPA pour les données scolaires aux États-Unis, et au RGPD pour ses clients européens, les amendes potentielles cumulées dépassent largement la capitalisation du groupe. Plusieurs cabinets d'avocats spécialisés en class action ont déjà annoncé l'ouverture d'actions collectives. Une enquête a été ouverte par le procureur général du Texas sous l'angle des manquements à la loi locale sur la protection des données.

Au-delà des aspects légaux, l'incident pose une question politique. Les principaux concurrents directs de Canvas, Blackboard et Moodle, ont publié des notes de positionnement vendredi pour rassurer leurs clients existants. Le débat sur la souveraineté des plateformes éducatives, déjà ancien en Europe, prend une nouvelle dimension : un seul fournisseur centralise la majorité des données pédagogiques nord-américaines, et son compromis a un effet domino sur l'ensemble du système éducatif.

Impact et exposition

Toute organisation utilisant Canvas, qu'il s'agisse d'une université, d'un lycée international, d'un centre de formation continue ou d'une entreprise utilisant Canvas Catalog pour la formation professionnelle, doit considérer ses données comme potentiellement exposées. Les comptes liés à des intégrations SSO via SAML ou OAuth (Google Workspace, Microsoft 365, Okta) sont particulièrement à surveiller : les jetons exposés peuvent être réutilisés sur d'autres services tant que les sessions n'ont pas été invalidées côté IdP. Les enseignants ayant échangé en messagerie interne des informations personnelles sont également concernés.

Recommandations

  • Forcer la rotation des mots de passe et l'invalidation des sessions sur tous les comptes Canvas, y compris les comptes administrateurs et les comptes invités
  • Auditer les intégrations OAuth et révoquer les jetons d'API émis avant le 1er mai 2026, en particulier ceux liés à des intégrations LTI tierces
  • Communiquer aux utilisateurs (élèves, parents, enseignants) sur la possible exposition de leurs adresses e-mail et identifiants, et anticiper les campagnes de phishing ciblé qui suivront mécaniquement la fuite
  • Vérifier les journaux d'accès Canvas sur la période 1er avril – 1er mai 2026 à la recherche de connexions atypiques (géolocalisation, user-agent, horaires)
  • Pour les responsables conformité européens : préparer la notification CNIL à 72h si des données d'utilisateurs résidant dans l'UE sont confirmées dans les volumes leakés

Alerte critique

L'ultimatum de ShinyHunters expire le 12 mai 2026 à minuit UTC. Une diffusion publique des données exposera des millions de mineurs à des risques de phishing ciblé et de doxing. Les RSSI des établissements concernés doivent activer leur cellule de crise communication dès aujourd'hui, sans attendre la confirmation officielle d'une fuite intégrale.

Comment savoir si mon établissement est concerné par la fuite Canvas ?

Instructure a engagé l'envoi de notifications individualisées via le portail d'administration de chaque tenant Canvas. À défaut de notification reçue avant le 10 mai, contactez directement votre Customer Success Manager. ShinyHunters publiera selon ses revendications la liste complète des 9 000 institutions le 12 mai à minuit, ce qui constituera une seconde source de vérification.

Faut-il payer la rançon ?

Non. Le FBI, l'ANSSI et l'ENISA déconseillent unanimement le paiement, qui ne garantit ni la suppression des données ni l'absence de revente sur les marchés criminels. ShinyHunters a déjà revendu des données pourtant prétendument supprimées dans les affaires Snowflake et Ticketmaster. La priorité est de notifier les utilisateurs et de préparer la défense juridique.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit