Instructure, éditeur américain de la plateforme Canvas, annonce un incident de cybersécurité survenu récemment aux mains d’un acteur de menace criminel. L’entreprise mène une enquête approfondie avec l’appui d’experts en informatique médico-légale externes.
Canvas représente le produit phare de cette société d’éducation technologique, un système de gestion d’apprentissage employé par de nombreux établissements scolaires, universités et organisations pour administrer les cours, devoirs et formations en ligne.
Steve Proud, directeur de la sécurité, précise dans un communiqué : l’équipe évalue l’ampleur de l’attaque et met en œuvre des mesures pour limiter les conséquences. La transparence guide les communications futures sur l’enquête.
Des mises à jour suivront au fur et à mesure des avancées. Par ailleurs, depuis le 1er mai, plusieurs services comme Canvas Data 2 et Canvas Beta affichent des interruptions de maintenance. Les utilisateurs risquent des dysfonctionnements sur les outils dépendant des clés API.
Aucun lien explicite entre cette maintenance et l’incident n’a été confirmé par Instructure.
Les entreprises d’éducation technologique dans le viseur
Les acteurs malveillants s’attaquent de plus en plus aux firmes d’éducation technologique pour s’emparer des données personnelles d’élèves et d’enseignants.
En janvier 2025, PowerSchool, fournisseur de logiciels éducatifs, a révélé une violation exposant les informations de 62 millions d’étudiants, selon les affirmations d’un attaquant.
Septembre 2025 a vu Instructure victime d’une autre brèche via une ingénierie sociale donnant accès à des données hébergées sur son instance Salesforce. Le groupe ShinyHunters avait revendiqué l’opération et proposé les données sur un site de fuites.
Des campagnes similaires ont visé Infinite Campus, avec des allégations de vol de données depuis son environnement Salesforce.