Le groupe d’extorsion ShinyHunters revendique la responsabilité d’une violation de données chez Instructure, un géant de la technologie éducative. Les attaquants affirment avoir exfiltré 280 millions d’enregistrements concernant des étudiants et du personnel de 8 809 établissements scolaires, districts universitaires et plateformes d’apprentissage en ligne.
Le rôle central de Canvas
Instructure fournit des solutions basées sur le cloud pour l’éducation, avec son système de gestion d’apprentissage Canvas au cœur de son offre. Cette plateforme sert à organiser les cours, les devoirs, les notes et les échanges entre enseignants et apprenants dans les écoles et les universités.

L’annonce de la brèche
Le vendredi précédent, Instructure a signalé une enquête en cours sur une cyberattaque, avant de confirmer une fuite de données. Les informations compromises incluent les noms des utilisateurs, leurs adresses e-mail et les messages privés échangés sur la plateforme.
La liste des victimes potentielles
Les cybercriminels ont diffusé une liste détaillant 8 809 institutions éducatives touchées, avec des estimations de volumes de données par entité, variant de dizaines de milliers à plusieurs millions d’enregistrements chacune. Aucune organisation spécifique n’est citée ici, faute de vérification indépendante de l’impact réel.
Techniques d’exfiltration employées
Les assaillants décrivent avoir exploité les fonctionnalités d’exportation de données de Canvas, notamment les requêtes DAP, les rapports de provisionnement et les API utilisateur. Cette opération aurait permis de collecter des centaines de gigaoctets de profils utilisateurs, de messages et de données d’inscription.
Premières réactions des universités
Plusieurs établissements ont réagi publiquement. L’University of Colorado Boulder a averti d’une brèche nationale affectant de multiples institutions via le fournisseur de Canvas. Rutgers indique n’avoir reçu aucune notification d’impact direct, avec la plateforme restant opérationnelle. L’Université de Tilburg mène une enquête pour évaluer les conséquences potentielles sur ses systèmes et a interrogé le fournisseur pour plus de précisions.
