Jeudi après-midi, des millions d'étudiants et d'élèves de milliers d'universités et d'écoles primaires et secondaires ont été privés d'accès à Canvas, une plateforme éducative omniprésente devenue le cœur de nombreux cours. Le groupe de ransomware ShinyHunters a piraté la société mère de Canvas et, selon ses déclarations, aurait volé « des milliards » de messages tout en accédant aux données personnelles de plus de 275 millions d'individus. Le groupe a également bloqué l'accès des étudiants à la plateforme.
Plus tard dans la journée, Instructure, l'éditeur de Canvas, est parvenu à rétablir la majorité des services. Il reste incertain si l'entreprise a payé une rançon. Cette cyberattaque illustre les risques liés à la centralisation des données éducatives et personnelles de millions d'utilisateurs au sein d'un seul service.
Canvas, utilisé comme un portail unique, permet aux enseignants de publier des devoirs, des cours, d'animer des forums de discussion et aux étudiants d'échanger avec leurs professeurs ou entre eux. Il sert également de lien avec d'autres outils éducatifs.
Dans une mise à jour de l'incident, Instructure a confirmé que les données volées incluaient « certaines informations personnelles des utilisateurs des organisations concernées ». Parmi celles-ci figuraient les noms, adresses e-mail, numéros d'identification étudiants et les messages échangés sur la plateforme. L'entreprise a également révélé avoir subi deux intrusions : la première le 29 avril, la seconde jeudi.
Une menace sans précédent pour la vie privée des étudiants
Quelques heures après l'attaque, nous avons contacté Ian Linkletter, bibliothécaire numérique spécialisé dans les nouvelles technologies éducatives. Avec vingt ans d'expérience dans le domaine, il s'est fait connaître pour avoir révélé des failles de confidentialité dans Proctorio, un logiciel de surveillance des examens en ligne devenu populaire pendant la pandémie de COVID-19. Linkletter a même été poursuivi par Proctorio, avant que l'affaire ne soit abandonnée.
Pour lui, le piratage de Canvas représente « le pire scandale de violation de données étudiantes de l'histoire », en raison de son ampleur et de la sensibilité des données dérobées. Voici les principaux points de notre échange, légèrement condensé.
Les conséquences immédiates de l'attaque
404 Media : Que savons-nous de cette cyberattaque à ce stade ?
Ian Linkletter : Vers 13h20 [heure du Pacifique, jeudi], des utilisateurs ont commencé à publier des captures d'écran du message d'alerte reçu sur Reddit. Certaines institutions ont conseillé aux étudiants de changer leurs mots de passe s'ils étaient connectés. Actuellement, c'est la panique : des responsables scolaires sont en réunion pour décider s'il faut annuler les examens de la semaine prochaine. Les implications sont énormes, car les établissements dépendent entièrement de ce système de gestion de l'apprentissage pour tout : communications, notation, examens… tout.
Pourquoi qualifier cette attaque de « pire scandale » ?
404 Media : Vous avez travaillé dans les EdTech pendant vingt ans et vous qualifiez cette attaque de « pire scandale de violation de données étudiantes de l'histoire ». Qu'est-ce qui vous amène à cette conclusion ?
Ian Linkletter : J'ai soutenu Blackboard [un concurrent de Canvas] il y a longtemps, puis j'ai travaillé avec Canvas de 2017 à 2022 à l'Université de la Colombie-Britannique. À l'époque, nous avons migré vers Canvas en 2017, abandonnant des systèmes autogérés et fragmentés pour une solution centralisée. Cette transition a marqué un tournant : au lieu de gérer des outils dispersés, les établissements ont tout concentré dans une seule plateforme, devenant ainsi des cibles idéales pour les cybercriminels.
Cette centralisation des données éducatives, autrefois dispersées et mieux protégées, expose désormais des millions d'utilisateurs à des risques colossaux. Le piratage de Canvas rappelle brutalement les dangers d'une dépendance excessive à une poignée de géants technologiques dans le secteur éducatif.
Articles connexes
L'IA avancée, une révolution dans la guerre selon un haut responsable du Pentagone
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Cybersécurité : l'identité numérique devient cruciale face à l'essor de l'IA
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn victime d’une cyberattaque : des usines nord-américaines perturbées
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
Une application d'IA analyse les selles : son créateur propose à la vente une base de données de 150 000 images de selles
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
L'IA pulvérise les records en cybersécurité autonome : les nouveaux modèles dépassent toutes les attentes
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
La Chambre des représentants enquête sur l'IA Mythos d'Anthropic et ses risques cyber
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
Le Département de la Justice justifie la collecte nationale de données électorales malgré les rejets judiciaires
The Trump administration released a legal opinion outlining the legal rationale behind its nationwide voter data collection efforts, justifying an agg...
Fraude et usurpation d'identité par IA : une menace en pleine accélération
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...