Canvas : ShinyHunters vole 3,65 To et 275 millions d'identités éducatives

Les faits

Le 1er mai 2026, Instructure — éditeur américain de Canvas, le système de gestion d'apprentissage (LMS) le plus utilisé dans l'enseignement supérieur mondial — a signalé sur sa page de statut un incident de cybersécurité. En moins de 48 heures, le groupe ShinyHunters, déjà connu pour les compromissions d'AT&T, Ticketmaster et Santander en 2024-2025, revendiquait la responsabilité de l'attaque et publiait une note de rançon sur un forum cybercriminel.

L'ampleur de la brèche est sans précédent dans le secteur éducatif : 3,65 téraoctets de données extraites, couvrant 275 millions d'utilisateurs répartis dans 8 809 universités, lycées, ministères de l'éducation et autres institutions dans plus de 50 pays. Parmi les victimes confirmées figurent les huit universités de l'Ivy League américaine, les grandes universités d'État (Californie, New York, Texas), 1 616 districts scolaires K-12, et des institutions internationales comme Oxford, Cambridge, l'Université nationale de Singapour et l'Université de Melbourne. Il s'agit de la plus grande fuite de données du secteur éducatif jamais enregistrée, selon les analyses concordantes de TechRepublic et Cloudskope.

Selon l'analyse technique publiée par Bitdefender Business Insights, le vecteur initial d'intrusion exploitait un défaut dans la gestion des comptes dits « Free-For-Teacher » — un mécanisme d'accès gratuit proposé par Instructure aux enseignants. Cette vulnérabilité aurait permis à l'attaquant d'élever ses privilèges au sein de l'environnement cloud d'Instructure et d'accéder aux infrastructures de données sous-jacentes. La fenêtre d'exposition confirmée s'étend du 30 avril au 7 mai 2026.

Le 7 mai, un second incident aggrave la situation : des attaquants remplacent la page de connexion de Canvas par un message de rançon signé ShinyHunters, confirmant un second accès actif aux systèmes. The Register documente le 12 mai 2026 cette « double intrusion ». L'échéance pour le paiement de la rançon était fixée au 12 mai 2026. Selon des sources non officielles relayées par Inside Higher Ed et Hackread, Instructure aurait versé environ 10 millions de dollars au groupe pour obtenir la destruction des données exfiltrées et l'arrêt de toute divulgation publique.

Instructure a officiellement déclaré le 11 mai avoir « conclu un accord avec l'acteur non autorisé » et obtenu confirmation que les données compromises avaient été détruites. La société affirme que les mots de passe, dates de naissance, numéros de sécurité sociale et informations financières ne figuraient pas dans l'ensemble des données exposées. En revanche, les noms complets, adresses email, identifiants étudiants et certains messages privés entre utilisateurs Canvas sont confirmés comme compromis. Le chiffrement de bout en bout n'était pas appliqué à ces communications internes à la plateforme.

ShinyHunters est un groupe cybercriminel dont l'organisation s'est fortement professionnalisée depuis 2020. Il opère essentiellement via des accès à des environnements cloud mal sécurisés, souvent obtenus par credential stuffing, exploitation de configurations permissives ou vol de tokens d'authentification. Le groupe a été lié à des dizaines de compromissions massives, dont la vente de 560 millions d'enregistrements Ticketmaster sur BreachForums en 2024. La réapparition de ce groupe avec une cible aussi critique que l'infrastructure éducative mondiale illustre leur capacité à identifier des cibles à haute valeur symbolique et commerciale.

L'impact potentiel sur les 275 millions d'utilisateurs est considérable. Les adresses email et identifiants étudiants sont particulièrement précieux pour des campagnes de phishing ciblées, des attaques par ingénierie sociale, ou la constitution de bases de données de credential stuffing. Les étudiants, souvent moins aguerris aux risques cyber que les professionnels, représentent une cible privilégiée. ESET et Trend Micro ont d'ores et déjà publié des alertes sur les campagnes de phishing exploitant cette fuite, usurpant l'identité d'institutions universitaires pour dérober des identifiants bancaires ou des numéros de sécurité sociale.

Du point de vue réglementaire, la situation expose Instructure à des enquêtes dans de multiples juridictions. En Europe, les autorités de protection des données — CNIL en France, ICO au Royaume-Uni, Autoriteit Persoonsgegevens aux Pays-Bas — ont ouvert des investigations préliminaires au titre du RGPD. Les institutions européennes concernées disposent de 72 heures pour notifier leurs autorités nationales après avoir pris connaissance formelle de la brèche. Aux États-Unis, la FTC et plusieurs procureurs généraux d'État ont annoncé l'ouverture d'enquêtes sur les pratiques de sécurité d'Instructure, notamment concernant la protection des données de mineurs (COPPA pour les établissements K-12).

Cette compromission s'inscrit dans une tendance de fond : l'éducation est désormais le second secteur le plus ciblé par les attaques ransomware et exfiltration de données après la santé, selon le rapport Sophos State of Ransomware 2026. Les institutions éducatives combinent plusieurs caractéristiques attractives pour les attaquants : volumes massifs de données personnelles, budgets cybersécurité structurellement insuffisants, parcs informatiques hétérogènes et utilisateurs nombreux peu sensibilisés. La brèche Canvas illustre parfaitement pourquoi les LMS — points de convergence de toutes les données étudiants — constituent des cibles de choix pour les groupes criminels organisés.

Impact et exposition

Toute institution utilisant Canvas LMS est potentiellement affectée si elle figure parmi les 8 809 entités confirmées. Les utilisateurs exposés sont les étudiants actuels et anciens, les enseignants et personnels administratifs ayant un compte Canvas actif ou archivé avant le 7 mai 2026. Les institutions européennes doivent procéder à une notification à leur autorité de contrôle nationale dans les 72 heures suivant la prise de connaissance formelle de leur inclusion dans le périmètre de la brèche. Le risque immédiat est le phishing ciblé exploitant les données nominatives et emails dérobés, suivi à moyen terme par des tentatives de credential stuffing sur d'autres services utilisés par les mêmes individus.

Recommandations

• Vérifier immédiatement si votre institution figure dans la liste des 8 809 entités compromises — Instructure communique directement avec les administrateurs des comptes concernés.
• Demander à tous les utilisateurs de modifier leur mot de passe Canvas et activer l'authentification multifacteur (MFA) si ce n'est pas déjà en place.
• Diffuser une alerte interne sur le risque de phishing : les emails usurpant Canvas, votre institution ou vos services financiers sont à anticiper dans les semaines à venir.
• Notifier votre autorité de protection des données (CNIL pour la France) si votre institution est confirmée dans le périmètre — délai RGPD de 72h à compter de la prise de connaissance formelle.
• Surveiller les plateformes de threat intelligence et Have I Been Pwned pour les domaines email de votre institution.