Le géant de l’éducation numérique Instructure a validé l’exploitation d’une faille de sécurité qui a permis à des pirates d’altérer les portails de connexion de Canvas et d’y afficher un message d’extorsion.
La première incursion et les modifications visuelles proviennent de plusieurs vulnérabilités de type cross-site scripting (XSS), exploitées pour s’emparer de sessions administrateur authentifiées.
Une intrusion initiale suivie d’une pression accrue
Le 29 avril, Instructure a détecté une brèche dans son réseau, révoqué l’accès de l’intrus, lancé une enquête et sollicité des experts en forensique externes.
Par la suite, l’entreprise a reconnu le vol de données lors de cette attaque. Le groupe ShinyHunters a alors listé Instructure sur son site de fuites, affirmant avoir exfiltré plus de 3,6 téraoctets de données non compressées.
Pour forcer Instructure à verser une rançon, les assaillants ont frappé à nouveau le 7 mai via la même faiblesse. Ils ont injecté du JavaScript malveillant en exploitant des bugs XSS dans les fonctionnalités de contenu généré par les utilisateurs, obtenant ainsi des privilèges administrateur.
Message des pirates sur la page de connexion Canvas de l’Université du Texas à San Antonio
Impact limité au Free-for-Teacher et restauration rapide
Instructure précise que la vulnérabilité touchait l’environnement Free-for-Teacher, version gratuite restreinte de Canvas LMS destinée aux enseignants individuels. L’attaquant a modifié les pages visibles après connexion pour certains élèves et professeurs.
L’entreprise a mis Canvas hors ligne temporairement afin de bloquer la propagation, identifier l’origine et déployer des protections supplémentaires.
Les pirates ont placé un avertissement sur les portails de connexion, exigeant des négociations avant le 12 mai sous peine de conséquences pour Instructure et les établissements utilisateurs.
Les comptes Free-for-Teacher restent suspendus le temps des corrections. Canvas fonctionne normalement depuis le 9 mai. Aucune donnée n’a fuité lors du défigement, contrairement au premier vol qui inclut probablement identifiants, adresses mail, noms de cours, inscriptions et échanges.
ShinyHunters revendique un impact sur 8 809 institutions éducatives et 275 millions d’enregistrements d’élèves, enseignants et personnel. Canvas, outil de gestion d’apprentissage prisé mondialement, gère devoirs et cours pour écoles et universités.