Le groupe d’extorsion ShinyHunters a de nouveau compromis Instructure, en exploitant une faille pour modifier les pages de connexion Canvas de plusieurs centaines d’établissements d’enseignement.
Ces modifications, apparues pendant une trentaine de minutes avant suppression, montraient un message du groupe revendiquant l’attaque initiale contre Instructure et menaçant de diffuser les données volées sans paiement d’une rançon.
Le texte avertit que Instructure et les écoles disposent jusqu’au 12 mai pour entamer des négociations, sous peine de publication des informations des élèves.
« ShinyHunters a compromis Instructure (encore une fois). Au lieu de nous contacter pour régler le problème, ils nous ont ignorés et ont appliqué des ‘correctifs de sécurité' », indique le message de défiguration.
Le groupe précise que les écoles concernées peuvent consulter un cabinet de conseil en cybersécurité pour négocier discrètement via Tox avant la fin de la journée du 12 mai 2026, sinon tout sera publié.
Page de connexion Canvas de l’Université du Texas à San Antonio modifiée
Une institutions touchées
Les acteurs malveillants ont altéré les portails de connexion Canvas d’environ 330 établissements éducatifs, remplaçant les pages standards par ce message d’extorsion. La modification a aussi affecté l’application mobile Canvas.
Une vulnérabilité dans les systèmes d’Instructure aurait permis cette opération. L’entreprise a mis Canvas hors ligne pour gérer cette nouvelle agression informatique.
Contexte de la brèche antérieure
La semaine passée, Instructure a annoncé enquêter sur une cyberattaque après que ShinyHunters ait affirmé dérober 280 millions d’enregistrements d’élèves et de personnel liés à 8 809 écoles, universités et plateformes utilisant le système de gestion de l’apprentissage Canvas.
Les données volées comprennent des profils utilisateurs, messages privés, informations d’inscription et autres éléments récupérés via les fonctionnalités d’exportation de données et les APIs de Canvas.
Instructure a validé le vol de données et poursuite l’examen de l’incident.
Canvas reste l’un des systèmes de gestion de l’apprentissage les plus répandus dans l’enseignement supérieur et le primaire-secondaire, facilitant la gestion des cours, devoirs, notes et échanges entre élèves et enseignants.