L'enseignement supérieur a longtemps été une cible pour les gangs de ransomware et les attaques d'extorsion de données. Mais rarement une cyberattaque contre une seule plateforme logicielle n'a-t-elle autant perturbé les opérations quotidiennes de milliers d'écoles à travers les États-Unis. La plateforme d'apprentissage numérique largement utilisée **Canvas** a été mise en « mode maintenance » jeudi après que son fabricant, le géant de la technologie éducative **Instructure**, a subi une violation de données et fait face à une tentative d'extorsion par des attaquants utilisant le pseudonyme reconnaissable **ShinyHunters**. Bien que les pirates annoncent la violation et tentent d'obtenir un paiement de rançon auprès d'**Instructure** depuis le 1er mai, la situation a pris une urgence supplémentaire pour les gens ordinaires aux États-Unis et au-delà jeudi, car l'indisponibilité de **Canvas** a provoqué le chaos dans les écoles, y compris celles en plein examens finaux et devoirs de fin d'année. ### Impact sur les établissements d'enseignement Des universités comme **Harvard**, **Columbia**, **Rutgers** et **Georgetown** ont envoyé des alertes aux étudiants concernant la situation ces derniers jours ; d'autres institutions, y compris des districts scolaires dans au moins une douzaine d'États, semblent également avoir été touchées. Dans une liste publiée par les pirates derrière l'attaque sur leur site du dark web axé sur la rançon, ils affirment que la violation a affecté plus de 8 800 écoles. L'ampleur et la portée exactes de la violation ne sont cependant pas claires. Et le fait que **Canvas** ait été indisponible tout au long de jeudi après-midi et soir a encore compliqué le tableau. Dans un journal de mise à jour d'incidents en cours qui a débuté le 1er mai, **Steve Proud**, le responsable de la sécurité de l'information d'**Instructure**, a déclaré que l'entreprise avait « récemment subi un incident de cybersécurité perpétré par un acteur malveillant ». Il a ajouté le 2 mai que « les informations impliquées » pour « les utilisateurs des institutions affectées » comprenaient les noms, les adresses e-mail, les numéros d'identification d'étudiant et les messages échangés par les utilisateurs sur la plateforme. La situation a finalement été marquée comme « Résolue » mercredi, **Proud** écrivant que « **Canvas** est pleinement opérationnel, et nous ne constatons aucune activité non autorisée en cours ». À la mi-journée jeudi, cependant, la page de statut d'**Instructure** a enregistré un « problème » où « certains utilisateurs ont des difficultés à se connecter aux ePortfolios étudiants ». En quelques heures, l'entreprise avait ajouté une autre mise à jour de statut : « **Instructure** a placé **Canvas**, **Canvas** Beta et **Canvas** Test en mode maintenance ». Tard jeudi soir, l'entreprise a déclaré que **Canvas** était à nouveau disponible « pour la plupart des utilisateurs ». ### Tactiques de défiguration et d'extorsion TechCrunch a rapporté jeudi que les pirates avaient lancé une deuxième vague d'attaques, défigurant certains portails **Canvas** des écoles en injectant un fichier HTML pour afficher leur propre message sur les pages de connexion **Canvas** des écoles. Selon The Harvard Crimson, les attaquants ont modifié la page de connexion **Canvas** de **Harvard** pour afficher un message incluant une liste d'écoles que les pirates prétendent avoir été impactées par la violation. Le message des attaquants « a exhorté les écoles incluses sur la liste des affectés à consulter un cabinet de conseil en cybersécurité et à contacter le groupe en privé pour négocier un règlement avant la fin de la journée du 12 mai — sous peine de voir leurs données divulguées », a rapporté The Crimson. « Il n'est pas clair quelles informations liées aux affiliés de **Harvard** étaient incluses dans la violation présumée ». **Instructure** n'a pas immédiatement répondu à une demande de commentaire concernant les pannes de jeudi et comment elles s'inscrivent dans le tableau général de la violation. Mais la situation est importante étant donné qu'une énorme quantité d'informations sur les étudiants a potentiellement été exposée, et la visibilité de l'incident à travers le pays en fait un exemple clé d'un problème de longue date mais en constante escalade d'extorsion de données et d'attaques par ransomware. ### La connexion ShinyHunters Le nom **ShinyHunters** est associé à des déversements massifs de données et a été lié au tristement célèbre collectif de pirates connu sous le nom de **Com**. Mais à mesure que la constellation des acteurs a évolué au fil des ans, de nombreux attaquants ont repris les pseudonymes les plus importants liés au **Com**. Un certain nombre d'attaques récentes ont invoqué d'autres noms, tels que **Lapsus$**, avec peu ou pas de lien avec le groupe d'origine qui opérait sous ce nom. Dans le cas de **Canvas**, il est également difficile de savoir qui agit derrière le nom **ShinyHunters**. **Allison Nixon**, la responsable de la recherche chez la société de cybersécurité Unit 221b, qui a suivi de près **ShinyHunters** et d'autres groupes de ransomware, affirme que l'activité semble liée à une activité récente d'un groupe de pirates parfois appelé ScatteredLapsus$Hunters. Plus tôt jeudi, un site du dark web utilisé par des pirates opérant sous le nom **ShinyHunters** pour menacer et extorquer leurs cibles listait à la fois **Instructure** et les écoles qui utilisent son logiciel comme victimes, ainsi qu'une note des pirates se plaignant qu'**Instructure** n'avait pas répondu à leurs demandes de négocier un paiement. « **Instructure** n'a même pas pris la peine de nous parler pour comprendre la situation ou même de négocier avec nous pour empêcher la publication de ces données », peut-on lire dans la déclaration. « L'entreprise ne se soucie apparemment pas de tous les étudiants affectés et des institutions impactées par cette violation de données ». Cependant, jeudi soir, ces références à **Instructure** et à ses clients avaient disparu du site, qui est ensuite devenu inaccessible. Bien que les gangs de ransomware retirent parfois des victimes de leurs sites du dark web en réponse à leur accord de payer une rançon, les victimes peuvent également être retirées par les pirates comme tactique de négociation, explique **Nixon**. « C'est souvent l'une de leurs tactiques de manipulation pour essayer d'encourager la victime à payer. Ainsi, pendant qu'ils négocient ou après avoir payé, ils peuvent retirer cette victime du site, ou en fonction du déroulement des négociations, ils peuvent la remettre », explique **Nixon**. Elle ajoute qu'au milieu de ces négociations, les groupes de pirates associés au **Com** sont connus pour recourir à des tactiques coercitives plus extrêmes pour maximiser l'incitation de la victime à payer, y compris des attaques par déni de service distribué, le bombardement de l'entreprise d'appels téléphoniques et d'e-mails, et même des menaces envers les familles des dirigeants. « Ces types de tactiques de pression commencent à ressembler davantage à de la mafia violente plutôt qu'à du piratage qualifié », déclare **Nixon**. Les pirates listent en fait de nombreuses autres victimes sur leur site du dark web qui ont été précédemment signalées comme cibles de **ShinyHunters**, y compris **Amtrak**, **Harvard**, **University of Pennsylvania**, **Rockstar Games**, **Match**, **Hinge** et **Bumble**, bien que WIRED n'ait pas pu confirmer si ces organisations avaient effectivement été compromises par ce sous-groupe spécifique du **Com**. **Nixon** prévient que les pirates derrière l'attaque **Canvas** ont en fait utilisé d'anciennes données ou des données recyclées pour exagérer les affirmations de violations dans le passé. Cependant, cette dernière attaque et les perturbations qu'elle a causées pour les écoles à travers le pays sont bien réelles et représentent une escalade significative de la part de ce gang de ransomware particulier. « Il est remarquable qu'un petit nombre de récidivistes puissent escalader pendant des années pour atteindre ce point », déclare **Nixon**. « Cela témoigne du problème systémique international de la cybercriminalité et de la nécessité pour les gouvernements du monde entier de mettre de côté la géopolitique et de coopérer pour arrêter ceux qui extorquent de l'argent et s'en prennent aux enfants ».