En bref

  • Instructure (éditeur de Canvas LMS) ciblé pour la 3e fois en 8 mois par le groupe ShinyHunters.
  • 3,65 To exfiltrés concernant environ 275 millions de personnes : étudiants, enseignants, personnels.
  • Près de 9 000 écoles et universités impactées dans le monde ; chantage de type "pay or leak".

Les faits

Le groupe cybercriminel ShinyHunters a revendiqué début mai 2026 une nouvelle intrusion contre Instructure, éditeur du LMS (Learning Management System) Canvas qui équipe la majorité des établissements d'enseignement supérieur nord-américains et un nombre croissant d'universités européennes. Selon les éléments publiés par les attaquants sur leur portail de fuite, 3,65 To de données ont été exfiltrés et concerneraient près de 275 millions de personnes : étudiants, enseignants, personnels administratifs, parents d'élèves dans certains cas. Le périmètre couvre environ 9 000 écoles, collèges et universités, soit la quasi-totalité de la clientèle Canvas.

L'incident a été initialement détecté par Instructure le 4 mai 2026, lorsque plusieurs établissements ont remonté des perturbations d'accès à la plateforme. Le 5 mai, l'éditeur a confirmé l'existence d'une "anomalie d'accès" sur son infrastructure, sans qualifier publiquement de compromission. Le 7 mai, ShinyHunters a publié des échantillons authentifiables sur son site de leak, forçant Instructure à reconnaître l'ampleur de l'attaque. Sur la côte est américaine, des milliers d'étudiants en pleine semaine d'examens finaux se sont retrouvés bloqués hors de la plateforme. Krebs on Security et Inside Higher Ed ont relayé l'ampleur de l'impact opérationnel.

C'est la troisième fois en moins de huit mois qu'Instructure est compromis par ce même acteur. Les deux précédentes intrusions, en septembre 2025 et février 2026, avaient déjà donné lieu à des fuites partielles. Selon les analystes de Recorded Future et Sekoia, ShinyHunters semble disposer d'un accès persistant ou d'un mécanisme de réintrusion régulier, ce qui suggère soit une remédiation incomplète après les premiers incidents, soit une compromission profonde des chaînes d'intégration internes. Le mode opératoire combine vol de tokens OAuth Salesforce et exploitation d'API mal protégées — schéma déjà utilisé par le groupe contre d'autres cibles SaaS au printemps 2026.

Le même groupe ShinyHunters a également revendiqué début mai 2026 une intrusion contre Cushman & Wakefield (immobilier commercial mondial), avec exfiltration de plus de 500 000 enregistrements Salesforce contenant des données personnelles et corporate. Une autre attaque visant un partenaire NVIDIA GeForce NOW en Arménie a exposé l'intégralité d'une base utilisateurs : prénoms, emails, pseudonymes, dates de naissance, statut 2FA. Le dénominateur commun de ces trois opérations est l'abus de l'écosystème Salesforce et des intégrations tierces associées.

Les données dérobées chez Instructure comprennent, selon l'échantillon publié, des identifiants académiques, des courriels institutionnels, des notes et évaluations, des contenus pédagogiques privés, et dans une fraction non négligeable des cas, des numéros de sécurité sociale d'étudiants américains saisis lors d'inscriptions financières. Pour les utilisateurs européens, les données concernées sont principalement identifiantes et contextuelles (cursus, résultats, échanges enseignants/étudiants), mais leur volume et leur nature en font un dossier RGPD massif si la CNIL et les autorités équivalentes ouvrent une procédure.

Le groupe ShinyHunters opère en "pay or leak" : Instructure dispose d'un délai pour négocier le rachat des données, faute de quoi celles-ci seront publiées publiquement. Le montant de la rançon n'a pas été divulgué, mais les estimations comparables sur des opérations passées du même groupe se situent dans une fourchette de 10 à 50 millions de dollars en cryptomonnaie. Instructure a refusé de commenter sur sa politique de négociation, mais a annoncé travailler avec le FBI et des prestataires de réponse à incident.

L'affaire est aussi politique. Aux États-Unis, plusieurs sénateurs ont demandé que le Department of Education ouvre une enquête sur la sécurité des fournisseurs EdTech sous contrat fédéral. Le sénateur Ron Wyden a explicitement cité Instructure comme exemple de fournisseur "structurellement incapable de protéger les données qu'il agrège". En Europe, les universités françaises utilisant Canvas (notamment dans des programmes de coopération internationale) commencent à recevoir des questions de leurs DPO et de leurs ministères de tutelle sur l'exposition réelle des données nationales.

Au-delà du cas Instructure, cette série illustre un schéma plus large : les groupes d'extorsion comme ShinyHunters ont compris que cibler une plateforme SaaS multi-tenant permet de toucher des milliers d'organisations en une seule intrusion. La consolidation du marché EdTech, du CRM ou du HRIS autour de quelques acteurs dominants crée des points de concentration du risque cyber comparable à ce que représentent les hyperscalers cloud, mais avec des moyens de sécurité moindres et une régulation sectorielle plus floue.

Impact et exposition

Les organisations utilisatrices de Canvas LMS — directement (contrat avec Instructure) ou indirectement (intégrations consortiums, ENT régionaux) — doivent considérer comme compromises les données déposées sur la plateforme depuis au moins septembre 2025. Sont également concernées les organisations qui partagent un fournisseur Salesforce avec Instructure ou Cushman & Wakefield via des intégrations communes : la chaîne d'accès OAuth peut avoir été détournée. Les DPO européens doivent évaluer leur obligation de notification CNIL sous 72h dès qu'une fuite affectant leurs ressortissants est confirmée par l'éditeur.

Recommandations

  • Pour les établissements clients Canvas : contacter immédiatement le support Instructure pour obtenir la liste précise des données exfiltrées concernant votre tenant.
  • Forcer une rotation complète des tokens API et OAuth liés à Canvas et à toute intégration tierce associée.
  • Communiquer aux utilisateurs concernés (étudiants, personnels) sur la nature de la fuite et les mesures de prudence à adopter (phishing, usurpation).
  • Évaluer l'opportunité d'une notification formelle à la CNIL si des données de ressortissants européens sont impliquées.
  • Auditer toutes les intégrations Salesforce-SaaS de votre SI : les tokens OAuth peuvent avoir été compromis collatéralement.
  • Mettre en place une supervision renforcée sur les comptes étudiants et personnels au moins 6 mois après l'incident.

Alerte critique

275 millions de personnes potentiellement concernées et 9 000 établissements impactés font de cet incident l'une des plus importantes fuites EdTech de la décennie. L'absence de patch correctif est ici sans objet : la donnée est déjà dans la nature.

Mon université française utilise un ENT régional, suis-je concerné par cette fuite ?

Pas directement si l'ENT est un produit indépendant (type Esup, Pléiade, Open Sankoré). Mais de plus en plus d'établissements français intègrent Canvas pour des modules de coopération internationale, des MBA exécutifs ou des programmes en partenariat avec des universités américaines. Il faut vérifier auprès de la DSI si l'établissement dispose d'un tenant Canvas, même partiel, et si vos données y sont stockées.

Pourquoi le même groupe a-t-il pu compromettre Instructure trois fois ?

Les éléments techniques publics suggèrent une combinaison de facteurs : remédiation initiale incomplète, persistance d'accès via des comptes de service oubliés, et exploitation systématique d'intégrations Salesforce mal gouvernées. Ce schéma de réintrusion est désormais courant lorsque les vendeurs SaaS sous-investissent dans le hardening post-incident et privilégient une communication rassurante à un nettoyage complet de l'infrastructure.

Votre exposition à un fournisseur SaaS est-elle maîtrisée ?

Ayi NEDJIMI accompagne les RSSI dans l'évaluation des risques tiers et la cartographie de leur exposition aux fuites de fournisseurs cloud.

Évaluer mes risques fournisseurs