La commission de la sécurité intérieure de la Chambre des représentants américaine exige des réponses de la part d'**Instructure** suite à deux cyberattaques menées par le groupe d'extorsion **ShinyHunters** qui ont compromis la plateforme **Canvas** de l'entreprise. Ces violations ont entraîné le vol de données d'étudiants et ont causé des perturbations importantes pour les établissements scolaires, notamment pendant les examens finaux. ### Enquête du Congrès lancée Dans une lettre adressée au PDG d'**Instructure**, Steve Daly, le président de la commission de la sécurité intérieure, **Andrew R. Garbarino**, a déclaré que la commission enquête sur la violation massive qui touche des millions d'étudiants. La lettre souligne la gravité des incidents et l'impact potentiel sur les établissements d'enseignement. « La Commission de la sécurité intérieure (la Commission) enquête sur les rapports préoccupants liés aux récents incidents de cybersécurité affectant Instructure Holdings, Inc. et les dizaines de millions d'étudiants, d'éducateurs et d'administrateurs qui dépendent de sa plateforme de gestion de l'apprentissage Canvas », peut-on lire dans la lettre. La commission a souligné que le groupe **ShinyHunters** a piraté **Instructure** à deux reprises en une seule semaine. ### Détails des violations Comme l'a précédemment rapporté BleepingComputer, **Instructure** a révélé le 3 mai avoir subi une violation de données. L'entreprise a confirmé que l'intrusion a été détectée le 29 avril, révélant que des acteurs malveillants avaient compromis des systèmes et volé des données appartenant à des étudiants et au personnel scolaire utilisant **Canvas**. Selon **Instructure**, les informations exposées comprenaient des noms, des adresses e-mail, des numéros d'identification d'étudiants et des messages échangés entre étudiants et enseignants sur la plateforme. De manière critique, les données n'incluaient pas de mots de passe, d'informations financières ou d'identifiants gouvernementaux. ### Revendications de ShinyHunters Le 3 mai, le gang d'extorsion **ShinyHunters** a revendiqué la responsabilité de l'attaque, affirmant avoir volé 280 millions d'enregistrements de données auprès de 8 809 universités, districts scolaires et plateformes d'éducation en ligne. Les acteurs malveillants ont partagé une liste des organisations éducatives touchées, avec des décomptes d'enregistrements volés allant de dizaines de milliers à plusieurs millions pour chaque institution.  *Liste d'Instructure sur le site de fuite de données de ShinyHunters. Source : BleepingComputer* Le groupe **ShinyHunters** a également mené une deuxième attaque, défigurant les portails de connexion de **Canvas** dans les écoles et universités à travers les États-Unis. Ces défigurations affichaient des messages d'extorsion exigeant qu'**Instructure** négocie avec le groupe. Cette perturbation a affecté des institutions dans plusieurs États pendant des activités critiques de fin de semestre, forçant certaines universités à annuler des examens.  *Message de ShinyHunters sur la page de connexion Canvas de l'Université du Texas à San Antonio. Source : BleepingComputer* Il a été révélé plus tard que les acteurs malveillants avaient exploité plusieurs vulnérabilités de scripting inter-sites (XSS) pour obtenir des sessions d'administration authentifiées et modifier les pages du portail de connexion. ### Institutions touchées et réponse La lettre de la commission de la sécurité intérieure indique que des écoles dans de nombreux États, y compris la Californie, la Floride, la Géorgie, l'Oklahoma, l'Oregon, le Nevada, la Caroline du Nord, le Tennessee, l'Utah, la Virginie et le Wisconsin, ont signalé des perturbations liées à l'incident. La commission a également noté que les attaquants ont affirmé avoir ciblé **Instructure** à nouveau parce que l'entreprise avait initialement refusé de négocier. ### Accord conclu Peu de temps après que **ShinyHunters** a retiré **Instructure** de son site de fuite de données, **Instructure** a révélé avoir conclu un accord avec le groupe pour arrêter la fuite publique et garantir la suppression des données volées. Bien qu'**Instructure** n'ait pas explicitement confirmé le paiement d'une rançon, il est rare que les groupes d'extorsion suppriment les données volées ou cessent les fuites sans une forme de paiement ou d'accord. Le gang d'extorsion a mis à jour son site de fuite de données avec une déclaration affirmant que les données ont été détruites et que les écoles n'ont pas besoin de les contacter pour négocier. « Nous n'avons rien à ajouter ni à commenter concernant la récente situation de l'entreprise LMS. Si vous êtes une institution concernée, nous ne cherchons pas votre argent. Veuillez cesser toutes les tentatives de nous contacter, l'affaire est résolue », peut-on lire dans la mise à jour de **ShinyHunters**. « L'entreprise et ses clients ne seront plus ciblés ni contactés pour un paiement. Les données sont inexistantes. » ### Examen par le Congrès La commission de la sécurité intérieure a déclaré que les compromissions répétées soulèvent « de sérieuses questions » sur les capacités de réponse aux incidents d'**Instructure** et ses obligations de protéger les données qu'elle stocke. La commission a demandé à **Instructure** de participer à un briefing au plus tard le 21 mai pour discuter des deux intrusions, des données volées, des efforts de confinement et de notification, et de la coordination avec les agences fédérales.