Une attaque d'extorsion de données en cours ciblant la plateforme technologique éducative largement utilisée **Canvas** a perturbé les cours et les travaux scolaires dans les districts scolaires et les universités à travers les États-Unis aujourd'hui, après qu'un groupe de cybercriminels a défiguré la page de connexion du service avec une demande de rançon qui menaçait de divulguer des données de 275 millions d'étudiants et de professeurs dans près de 9 000 établissements d'enseignement.  **Instructure**, la société mère de Canvas, a réagi aux attaques de défiguration en désactivant la plateforme. Canvas est utilisé par des milliers d'écoles, d'universités et d'entreprises pour gérer les cours, les devoirs et la communication avec les étudiants. ### Brèche initiale et demande de rançon Instructure a reconnu une violation de données plus tôt dans la semaine après que **ShinyHunters** a revendiqué la responsabilité, menaçant de divulguer des données sur des dizaines de millions d'étudiants et de professeurs si une rançon n'était pas payée. La date limite initiale était le 6 mai, puis prolongée au 12 mai. Dans une déclaration le 6 mai, Instructure a indiqué que les données volées comprenaient "certaines informations d'identification des utilisateurs des établissements concernés, telles que les noms, les adresses e-mail et les numéros d'identification d'étudiant, ainsi que des messages entre utilisateurs". Ils n'ont trouvé aucune preuve de compromission de données plus sensibles, telles que des mots de passe ou des informations financières. L'entreprise a initialement affirmé que l'incident était contenu. Cependant, le 7 mai, les utilisateurs ont signalé voir la demande de rançon de ShinyHunters sur la page de connexion de Canvas, incitant Instructure à mettre la plateforme hors ligne. ### Tactiques d'extorsion et impact potentiel Le message d'extorsion a exhorté les écoles concernées à négocier les paiements de rançon pour empêcher la publication des données, quelles que soient les actions d'Instructure. Une source proche de l'enquête a indiqué que certaines universités avaient déjà contacté ShinyHunters. Le groupe a également retiré Instructure de son blog de fuites de données, suggérant des négociations ou des paiements potentiels. ### Critique de Cloudskope **Dipan Mann**, fondateur et PDG de **Cloudskope**, a critiqué Instructure pour avoir qualifié la panne de "maintenance planifiée". Mann a souligné qu'il s'agissait d'au moins la troisième violation d'Instructure par ShinyHunters au cours des huit derniers mois. Il a cité un incident de septembre 2025 où ShinyHunters a publié des fichiers de l'Université de Pennsylvanie via un chemin d'accès médiatisé par Canvas/Instructure. Mann soutient que l'incident précédent était une preuve de concept, et que les événements actuels représentent une escalade du schéma d'attaque. ### Mode opératoire de ShinyHunters ShinyHunters est connu pour le vol de données et l'extorsion, accédant souvent par le biais de phishing vocal et d'ingénierie sociale, en se faisant passer pour du personnel informatique. Le mois dernier, ils ont ciblé **ADT**, volant des informations personnelles sur 5,5 millions de clients en compromettant le compte de connexion unique **Okta** d'un employé. Ils ont également revendiqué la responsabilité d'attaques contre **Medtronic**, **Rockstar Games**, **McGraw Hill**, **7-Eleven** et **Carnival**. ### Évaluation de Mandiant **Charles Carmakal**, CTO chez **Mandiant Consulting**, a noté que ShinyHunters mène actuellement plusieurs campagnes d'intrusion et d'extorsion simultanées. ### Réponse d'Instructure et implications futures Mann de Cloudskope suggère que le résultat dépendra de la pression exercée par les clients d'Instructure sur l'entreprise ou de leur acceptation silencieuse de la violation. **Mise à jour :** Instructure a depuis publié une mise à jour sur l'incident, indiquant que Canvas est de nouveau opérationnel et que les pirates ont exploité un problème lié aux comptes Free-for-Teacher. Ils ont temporairement fermé ces comptes et ont informé les organisations concernées.