En bref

  • Le groupe d'extorsion ShinyHunters revendique le 3 mai 2026 le vol de données de 275 millions d'utilisateurs de Canvas LMS, la plateforme éducative d'Instructure.
  • Près de 9 000 établissements scolaires et universitaires dans le monde sont concernés, dont plusieurs universités françaises et européennes utilisatrices de Canvas.
  • L'attaque s'inscrit dans la vague Salesforce/Salesloft Drift exploitée par le groupe depuis l'été 2025 — pas de chiffrement, uniquement de l'extorsion sur fuite de données.

Les faits

Le 3 mai 2026, le groupe d'extorsion ShinyHunters a ajouté Instructure Holdings, éditeur de la plateforme Canvas LMS, à son leak site. La revendication mentionne le vol de données concernant environ 275 millions d'utilisateurs et 9 000 établissements éducatifs dans le monde, ce qui en ferait l'une des plus larges fuites jamais associées au secteur de l'éducation. Instructure, basée à Salt Lake City et cotée au NYSE, fournit Canvas à plus de 6 000 universités et 70 % des établissements supérieurs américains, ainsi qu'à de nombreuses écoles primaires et secondaires.

Selon les éléments publiés sur le portail d'extorsion du groupe, les données concerneraient noms, emails, identifiants étudiants, dates de naissance, listes de cours suivis, devoirs rendus, et dans certains cas des numéros de téléphone et adresses postales. Aucun mot de passe en clair ne serait exfiltré, mais ShinyHunters affirme disposer également de hashs et de jetons de session — éléments qui posent question sur le périmètre exact de la compromission.

L'angle d'attaque revendiqué est cohérent avec la campagne d'ampleur que ShinyHunters mène depuis l'été 2025, exploitant la chaîne d'intégration Salesforce / Salesloft Drift / OAuth pour exfiltrer les bases CRM de grandes entreprises sans toucher à leur infrastructure interne. Le mode opératoire consiste à compromettre des comptes Salesloft ou des intégrations OAuth tiers (souvent via phishing ciblé sur des employés disposant de droits d'administration), puis à utiliser les jetons obtenus pour exfiltrer en masse des données depuis Salesforce ou des plateformes intégrées. Cette même semaine, Cushman & Wakefield (immobilier commercial), Match Group (Tinder, Match.com), et Adelante Soluciones Financieras (services financiers Colombie) ont également été ajoutés au leak site.

Instructure n'a pas confirmé publiquement l'incident à l'heure de publication, mais des employés contactés par les chercheurs en sécurité ont indiqué qu'une investigation interne est en cours. La société a une obligation de notification aux régulateurs américains (notification 8-K à la SEC sous 4 jours ouvrés en cas d'incident matériel) qui pourrait clarifier le périmètre dans les jours à venir. Côté européen, les universités françaises ou européennes qui utilisent Canvas devront, si la confirmation est apportée, notifier la CNIL sous 72h en application du RGPD article 33 et informer leurs étudiants concernés.

Le secteur de l'éducation est devenu en 2025-2026 l'une des cibles privilégiées des groupes d'extorsion, en raison de la conjonction de plusieurs facteurs : volume considérable de données personnelles (élèves mineurs, étudiants, parents), niveaux de maturité cybersécurité hétérogènes, dépendances fortes à des plateformes SaaS centralisées comme Canvas, Blackboard ou Moodle, et budgets sécurité contraints. La présence de mineurs dans les bases compromises ajoute une couche de gravité particulière au regard du RGPD (consentement parental, mesures techniques renforcées exigées par l'article 8).

Le profil de ShinyHunters est désormais bien documenté. Le groupe, actif depuis 2020, a longtemps opéré sur des forums underground avant d'industrialiser ses opérations en 2025 en s'alliant ponctuellement avec Qilin pour des campagnes coordonnées. Contrairement aux ransomware classiques, ShinyHunters ne chiffre pas les systèmes : la pression repose entièrement sur la menace de publication. Cette approche "extorsion-only" présente plusieurs avantages opérationnels pour l'attaquant — moins d'empreinte technique, pas de récupération via sauvegarde possible, et difficulté pour la victime de réfuter publiquement les preuves de fuite.

Les preuves publiées par ShinyHunters incluent généralement un échantillon représentatif de la base prétendument volée, vérifiable par les premiers utilisateurs identifiés. Dans le cas Cushman & Wakefield la semaine dernière, le groupe avait publié 500 000 enregistrements Salesforce contenant des PII et des informations corporate internes — un format qui laisse peu de doute sur l'origine Salesforce de l'exfiltration.

Pour les organisations utilisatrices de Canvas en Europe, l'enjeu immédiat est double. D'abord, valider que leur tenant Canvas n'est pas dans le périmètre de l'attaque (ou attendre la confirmation officielle d'Instructure). Ensuite, vérifier les intégrations OAuth Canvas/Salesforce/Salesloft de leur côté pour s'assurer qu'aucune dérivée de la compromission ne touche leur SI propre. Plusieurs CSIRT-EDU (en France, en Allemagne, aux Pays-Bas) sont mobilisés pour coordonner les investigations dans le secteur académique européen.

Impact et exposition

Tout établissement utilisant Canvas LMS via Instructure peut potentiellement être concerné. Le périmètre exact reste à confirmer par l'éditeur. Les universités françaises ayant adopté Canvas (présence limitée mais réelle dans certaines grandes écoles et universités internationales implantées en France) doivent contacter leur représentant Instructure pour vérification. Les risques aval incluent du phishing ciblé sur les étudiants à partir des données fuitées, des tentatives de credential stuffing si des mots de passe ont été réutilisés, et des escroqueries usurpant l'identité de l'établissement.

Recommandations

  • Pour les RSSI d'établissements utilisant Canvas : contacter Instructure pour confirmation du périmètre et demander un export des logs d'accès sur les 90 derniers jours.
  • Forcer une rotation des mots de passe et l'invalidation des sessions actives sur les comptes Canvas dès confirmation d'exposition.
  • Auditer les intégrations OAuth tierces sur le tenant Canvas (Salesloft, Salesforce, applications éditeur) et révoquer celles qui ne sont plus utilisées.
  • Préparer la notification CNIL et la communication aux étudiants concernés conformément au RGPD article 33-34, en anticipant le délai de 72h.
  • Mettre en place une surveillance des forums underground et des services type HaveIBeenPwned pour repérer toute réutilisation des données fuitées.
  • Sensibiliser les étudiants et personnels au risque de phishing personnalisé exploitant les données qui pourraient apparaître dans les leaks à venir.

Alerte critique

Si la revendication de ShinyHunters est confirmée, il s'agirait de la plus large fuite jamais touchant le secteur de l'éducation. Les établissements concernés s'exposent non seulement aux conséquences directes (notification, communication de crise), mais aussi à une vague durable de phishing ciblé exploitant les données académiques fuitées. La présence potentielle de mineurs dans les bases impose un traitement particulier au regard du RGPD article 8.

Notre établissement utilise Canvas, devons-nous notifier la CNIL ?

Pas avant confirmation officielle d'exposition par Instructure. Tant que le périmètre n'est pas confirmé pour votre tenant, vous êtes en posture de veille active. Documentez votre processus de surveillance dans votre registre des incidents. Dès qu'Instructure confirme que votre établissement est concerné, le délai de 72h démarre — préparez dès maintenant le projet de notification et les éléments de communication.

Comment vérifier si nos jetons OAuth sont compromis ?

Dans la console admin Canvas, listez l'ensemble des Developer Keys et applications OAuth tierces autorisées. Pour chaque application, vérifiez les dernières utilisations et révoquez celles qui ne sont plus actives. Côté Salesforce, auditez les intégrations Salesloft, Drift et tout autre outil de sales engagement, en révoquant les jetons d'accès et en forçant une réauthentification complète.

Quel est le risque résiduel si seuls les emails ont fuité ?

Élevé en pratique. Une base de 275 millions d'emails étudiants enrichie de noms, établissements et listes de cours est un trésor pour les campagnes de phishing personnalisé. Les attaquants peuvent envoyer un mail prétendument du service scolarité, cohérent avec le cours réellement suivi, contournant largement la détection automatique. La sensibilisation préventive des étudiants et personnels est indispensable, doublée d'un renforcement des filtres anti-phishing avec marquage explicite des mails externes.

Établissement éducatif ou plateforme SaaS ?

Ayi NEDJIMI accompagne les organisations dans l'audit de leurs intégrations SaaS et OAuth, pour réduire la surface d'attaque face aux groupes d'extorsion comme ShinyHunters.

Demander un audit