**Instructure** a admis avoir payé une rançon à un groupe de cybercriminalité décentralisé suite à une violation de son réseau. L'entreprise, connue pour son système de gestion de l'apprentissage **Canvas**, a fait cette annonce après que les attaquants ont menacé de divulguer des données volées à des milliers d'écoles et d'universités. ### Paiement de la rançon confirmé Dans un communiqué publié lundi, l'entreprise basée dans l'Utah a déclaré avoir "conclu un accord avec l'acteur non autorisé impliqué dans cet incident", citant des préoccupations concernant une éventuelle publication de données. La décision de payer la rançon, une mesure controversée, a été prise pour éviter une fuite, l'accord couvrant tous les clients impactés. **Instructure** affirme que les données volées ont été restituées et numériquement confirmées comme détruites. L'entreprise a également déclaré avoir été informée qu'aucun client ne serait extorqué séparément à la suite du piratage. "Bien qu'il n'y ait jamais de certitude absolue lorsque l'on traite avec des cybercriminels, nous pensons qu'il était important de prendre toutes les mesures en notre pouvoir pour offrir une tranquillité d'esprit supplémentaire aux clients, dans la mesure du possible", a déclaré **Instructure**. ### Analyse forensique et améliorations de la sécurité L'entreprise collabore avec des fournisseurs experts pour soutenir l'analyse forensique, renforcer ses défenses de cybersécurité et mener un examen approfondi des données compromises. ### ShinyHunters revendique la responsabilité La violation découle d'une attaque du groupe d'extorsion **ShinyHunters**, qui a ciblé **Canvas** le mois dernier, entraînant le vol de 3,65 To de données. Cet incident a affecté près de 9 000 organisations. Bien que la violation ait été initialement considérée comme contenue, une deuxième vague d'activités non autorisées s'est produite le 7 mai 2026, défigurant les portails de connexion de **Canvas** dans environ 330 établissements avec des messages d'extorsion, fixant une date limite au 12 mai 2026 pour qu'**Instructure** négocie. ### Exploitation de vulnérabilité Les attaquants auraient exploité une vulnérabilité non spécifiée liée aux tickets de support dans l'environnement Free-for-Teacher pour obtenir un accès initial. Cela leur a permis de siphonner environ 275 millions d'enregistrements contenant des noms d'utilisateur, des adresses e-mail, des noms de cours, des informations d'inscription et des messages. **Instructure** souligne que le contenu des cours, les soumissions et les identifiants n'ont pas été compromis. ### Mesures de remédiation Suite à la violation, **Instructure** a temporairement fermé les comptes Free-For-Teacher. Bien que l'entreprise n'ait pas divulgué la nature exacte de la vulnérabilité, elle a révoqué les identifiants privilégiés et les jetons d'accès pour les systèmes affectés, fait pivoter les clés internes, restreint les voies de création de jetons et mis en œuvre des contrôles de sécurité supplémentaires. ### Risque de phishing "Les données exfiltrées fournissent aux acteurs de la menace suffisamment de contexte personnel pour mener des campagnes de phishing ciblées contre le personnel, les étudiants et les parents", a averti **Halcyon**. "Les enregistrements divulgués peuvent être utilisés pour usurper l'identité d'administrateurs scolaires, du support informatique ou des bureaux d'aide financière dans des attaques ultérieures. Les étudiants, les parents et le personnel des établissements touchés doivent être pris en compte, et les établissements devraient émettre immédiatement des avertissements de phishing et des communications directes."