Cyberattaque massive sur Canvas : des millions d’étudiants et d’enseignants exposés après une nouvelle faille de sécurité
Paris, 14 juin 2024 — La plateforme d’apprentissage en ligne Canvas, propriété d’Instructure et utilisée par des millions d’étudiants et d’enseignants à travers le monde, est actuellement hors service après la confirmation d’une breach majeure révélant des données sensibles, dont des noms, adresses électroniques, numéros d’identification et messages échangés. Selon les dernières informations, le groupe de hackers ShinyHunters a revendiqué la responsabilité de cette intrusion, qui s’inscrit dans une série de cyberattaques répétées contre le géant de l’éducation numérique.
Un message direct des pirates : la menace d’une fuite de données sans précédent
Dès jeudi, les utilisateurs tentant d’accéder à Canvas ont été accueillis par un message alarmant, attribué à ShinyHunters. Le groupe, connu pour ses attaques ciblées contre des entreprises et des institutions, a accusé Instructure d’avoir ignoré ses avertissements précédents et d’avoir sous-estimé les risques liés à ses « correctifs de sécurité ». Dans un communiqué partagé sur Reddit et relayé par des médias spécialisés, les pirates ont laissé entendre qu’ils pourraient publier les données volées si aucune solution n’était trouvée rapidement :
« ShinyHunters a de nouveau compromis Instructure (encore). Au lieu de nous contacter pour résoudre le problème, ils nous ont ignorés et ont appliqué quelques ‘correctifs de sécurité’. Si l’une des écoles de la liste des victimes souhaite éviter la publication de ses données, elle doit consulter un cabinet de conseil en cybersécurité et nous contacter en privé via TOX. »
Ce message, posté sur le forum Reddit dédié à l’Université du Texas à San Antonio (UTSA), a rapidement circulé parmi les communautés éducatives, provoquant une vague d’inquiétude parmi les étudiants et les enseignants.
Qui est touché ? Des centaines d’institutions et des millions d’utilisateurs dans le collimateur
Canvas, utilisé par plus de 12 000 établissements dans le monde, dont des universités prestigieuses comme Harvard, Stanford ou encore des écoles françaises comme Sciences Po ou l’Université Paris-Saclay, est un pilier de l’enseignement à distance. Selon les données d’Instructure, la plateforme compte plus de 100 millions d’utilisateurs actifs, dont une majorité d’étudiants.
La portée de cette breach est donc mondiale : des données personnelles de milliers d’étudiants, mais aussi d’enseignants et de personnels administratifs, sont désormais entre les mains des pirates. Les conséquences pourraient être lourdes, allant de l’usurpation d’identité à des campagnes de phishing ciblées, comme l’explique un rapport récent de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) :
« Les données personnelles, lorsqu’elles sont exposées, deviennent des cibles privilégiées pour les cybercriminels. Leur exploitation peut entraîner des préjudices financiers, des atteintes à la réputation, voire des chantages. »
Réactions en chaîne : les institutions se mobilisent, mais les questions restent entières
Face à cette crise, plusieurs universités ont déjà pris des mesures pour limiter les dégâts. L’UTSA, par exemple, a suspendu l’accès à Canvas et recommandé à ses étudiants de surveiller leurs comptes électroniques. D’autres établissements, comme l’Université de Californie à Berkeley, ont publié des communiqués rassurants, tout en appelant à la vigilance.
Cependant, les doutes persistent. Pourquoi Instructure a-t-il été une nouvelle fois la cible de ShinyHunters ? Pourquoi les « correctifs de sécurité » mentionnés par les pirates n’ont-ils pas suffi ? Et surtout, quelles garanties les utilisateurs ont-ils de ne pas voir leurs données publiées ?
« Les cyberattaques contre les plateformes éducatives sont en hausse depuis 2020, avec une augmentation de 150 % des incidents signalés, selon le dernier rapport du Centre européen de la cybersécurité. Canvas n’est pas une exception, mais son importance en fait une cible de choix », souligne un expert en sécurité informatique, interrogé par Nouvelles du Monde.
Comment se protéger ? Les conseils des autorités et des spécialistes
Alors que la situation reste floue, plusieurs pistes sont avancées pour limiter les risques :
- Surveiller ses comptes : Activer la double authentification et changer les mots de passe, surtout si vous utilisez le même identifiant sur plusieurs plateformes.
- Vérifier les emails suspects : Les pirates pourraient envoyer des messages se faisant passer pour des institutions éducatives.
- Contacter les services de support : Les universités concernées mettent à disposition des lignes dédiées pour les questions liées à la breach.
L’ANSSI et la CNIL (Commission nationale de l’informatique et des libertés) ont également rappelé aux citoyens leurs droits en cas de fuite de données, notamment le droit à l’effacement et à la compensation en cas de préjudice.
Un appel à la transparence et à l’action : et demain, qui sera la prochaine cible ?
Alors que Canvas reste hors service, les questions sur la gestion de la crise par Instructure se multiplient. Le groupe, qui n’a pas encore commenté officiellement les accusations de ShinyHunters, doit désormais rassurer une communauté éducative déjà fragilisée par les récentes vagues de cyberattaques.
« La confiance est un enjeu majeur dans l’éducation numérique. Une breach de cette ampleur peut avoir un impact durable sur l’adoption des outils en ligne par les institutions », rappelle un responsable d’un grand réseau universitaire français.
En attendant des éclaircissements, une chose est sûre : cette affaire rappelle, une fois de plus, que la cybersécurité n’est plus une option, mais une nécessité absolue pour les acteurs de l’éducation.
Pour aller plus loin :
- Lire le fil d’actualité sur Reddit concernant l’UTSA et Canvas
- Consulter le rapport de l’ANSSI sur les risques liés aux données personnelles
- Suivre les dernières analyses sur la cybersécurité éducative
Crédit photo : Cath Virginia / The Verge | Photos from Getty Images
