Red and white round plastic toy

Leçons de la cyberattaque Canvas

Lucas Morel

Ce que les RSSI et les dirigeants doivent apprendre de la crise du secteur de l’éducation.

Cyberattaque Canvas : qui, quoi, quand, comment ?

Quoi et quand ?

Les 6 et 7 mai 2026, les utilisateurs du système de gestion de l’apprentissage (LMS) Canvas ont reçu une page Web dégradée à la place de la page de connexion attendue. La page Web modifiée affichait un avertissement du pirate informatique criminel et du groupe d’extorsion informant de la compromission. Instructure, une entreprise leader de technologie éducative basée à Salt Lake City, dans l’Utah, a été fondée en 2008 et son LMS Canvas a été lancé en 2011. L’avertissement de ShinyHunters a donné à Instructure une date limite du 12 mai 2026 pour les contacter et négocier un accord de rançon afin d’empêcher la divulgation des données Canvas.

Dès le 1er mai 2026, ShinyHunters a revendiqué la responsabilité de l’attaque Instructure/Canvas qui aurait touché près de 9 000 établissements d’enseignement dans le monde et exposé des informations sensibles liées à 275 millions d’étudiants, de professeurs et de personnel. Des noms, adresses e-mail, identifiants d’étudiants et communications privées représentant un volume stupéfiant de 3,65 téraoctets ont été volés. Le moment de l’attaque a été particulièrement dommageable car elle a provoqué une perturbation opérationnelle généralisée lors des examens finaux et bloqué temporairement l’accès aux cours, aux devoirs et aux systèmes de collaboration dans les collèges et universités du monde entier.

OMS?

On pense que le nom du groupe de hackers criminels ShinyHunters est dérivé du rare personnage du jeu vidéo Shiny Pokémon. Le personnage est un aspect de la franchise de jeux vidéo Pokémon dans lequel les Pokémon apparaissent dans une palette de couleurs alternative et produisent une animation scintillante spéciale lorsqu’ils entrent dans la bataille. Les joueurs qui tentent de collecter les rares Pokémon Brillants grâce à des stratégies en jeu sont souvent appelés « chasseurs brillants ».

Ransomware.live, un site Web gratuit et indépendant, met continuellement à jour sa plateforme de renseignements sur les menaces et suit les groupes de ransomwares et leurs victimes. Leurs statistiques sur les activités néfastes de ShinyHunter identifient des statistiques stupéfiantes. À partir de 2020, ShinyHunters a réussi à compromettre 104 victimes dans 14 pays et à voler des milliards de dossiers. Sur les 104 victimes de la liste, 73 sont situées aux États-Unis et comptent de grands noms : Microsoft, Ticketmaster, Google, Cisco Systems, 7-Eleven, CarMax, Amtrak, McDonald’s, Disney/Hulu, Princeton, Harvard et l’Université de Pennsylvanie. AT&T Wireless a été compromis plus d’une fois, tout comme Instructure.

L’attaque Instructure/Canvas représente bien plus qu’une panne technologique isolée : c’est une démonstration très médiatisée de la façon dont les écosystèmes numériques centralisés, les dépendances de tiers et les opérations d’extorsion modernes remodèlent le cyber-risque des entreprises. Même si l’attaque a principalement perturbé le secteur de l’éducation, les enseignements tirés de l’incident sont directement applicables aux RSSI, aux conseils d’administration, aux responsables de la gestion des risques et aux équipes de direction de tous les secteurs.

Comment?

Les détails techniques spécifiques sur la façon dont Canvas a été compromis sont minces. Mais sur la page Incident de sécurité et mise à jour d’Instructure, la société a identifié qu’une vulnérabilité avec des tickets de support dans son environnement Free for Teacher avait été exploitée. À la suite de l’attaque, Canvas a temporairement désactivé le service Free for Teacher pendant qu’il effectuait un examen de sécurité complet. Free for Teacher est une version autonome et gratuite de Canvas LMS, permettant aux enseignants de créer des classes interactives et de gérer les élèves de manière indépendante, même si leur école n’utilise pas Canvas.

Les attaquants ciblent les environnements moins sécurisés, les systèmes existants, les portails de support, les infrastructures de test, les intégrations d’API et les services externes moins surveillés, car ils possèdent souvent des contrôles plus faibles que les environnements de production principaux. Les organisations investissent souvent massivement dans la protection de leur infrastructure principale orientée client tout en sous-estimant les risques associés aux écosystèmes de support, aux plateformes de développement et aux services auxiliaires.

Leçons apprises

Dépendance à l’égard de plateformes cloud tierces qui regroupent d’énormes quantités de données sensibles

Les établissements d’enseignement s’appuient de plus en plus sur les écosystèmes numériques non seulement pour la gestion de l’apprentissage, mais également pour la communication, la notation, la gestion des identités, la planification et la continuité opérationnelle. Des dépendances similaires existent dans tout le secteur privé. Les entreprises modernes centralisent de plus en plus les flux de travail opérationnels au sein des fournisseurs de logiciels en tant que service (SaaS) basés sur le cloud, créant ainsi une exposition aux risques concentrée. Lorsque ces plateformes échouent, les conséquences se font rapidement sentir.

J’ai récemment demandé à une professeure dont l’université a été touchée par l’incident comment elle avait été touchée. Elle a répondu que l’impact était quelque peu insignifiant puisqu’elle stockait localement toutes les informations sur sa classe et ses étudiants dans des feuilles de calcul et des formats hors ligne similaires.

Les RSSI doivent reconsidérer la manière dont les risques liés aux fournisseurs sont évalués. Historiquement, de nombreux programmes de gestion des risques tiers se concentraient fortement sur les éléments de conformité tels que les rapports SOC, les certifications ISO, les résumés de tests d’intrusion et les réponses basées sur des questionnaires. Même si ces contrôles restent utiles, l’incident Canvas démontre que ces contrôles à eux seuls ne garantissent pas la sécurité et la résilience opérationnelles. Les organisations doivent commencer à évaluer les fournisseurs non seulement sur les contrôles de sécurité préventifs, mais également sur leur maturité en matière de réponse aux incidents, leurs capacités de communication de crise, la résilience architecturale, les stratégies de segmentation des données, les délais de récupération et la transparence de la direction.

En recherchant Instructure pour cet article, j’ai trouvé un site Web impressionnant, l’Instructure Trust Center. Le site affiche onze « badges » de conformité – SOC 2 Type 2, SOC 3, PCI, ISO 27001, GDPR, etc. Le site donne également accès à 74 documents justificatifs de conformité et 57 éléments de FAQ. Pour illustrer un point antérieur sur les organisations qui se concentrent sur les offres de produits primaires plutôt que sur les risques associés aux produits et services secondaires, j’ai accédé et examiné le certificat ISO 27001 d’Instructure, qui est en vigueur et expire le 15 octobre 2027.

Le certificat indique que « La portée de ce certificat ISO/IEC 27001:2022 inclut les produits, les équipes et le SMSI d’Instructure gérés à son siège social à Salt Lake City, UT, États-Unis. Les personnes, les processus, la technologie et les sites sont définis dans le cadre d’Instructure du système de gestion de la sécurité de l’information (ISMS), daté du 1er août 2025, et dans la déclaration d’applicabilité, datée du 16 avril 2025. by Instructure comprend les éléments suivants :

  • Produits : Canvas, Studio, Mastery Connect, Impact, Parchment Award, Parchment Pathways, Parchment.
  • Services : Parchment Digitary Services (MyEquals et MyCreds), Intelligent Insights, Elevate Standards

Notez que la liste des produits Instructure concernés par l’examen dans le cadre de l’évaluation ISO 27001 n’inclut pas Free for Teachers.

Gestion des communications

À la suite de la compromission, Instructure a mis hors ligne la page Web dégradée et a affiché une page d’état faisant référence à la panne comme un « événement de maintenance programmé ». Puis, le lendemain, les responsables d’Instructure ont déclaré que l’incident avait été maîtrisé, même si c’était au moins la troisième fois au cours des huit derniers mois qu’Instructure était victime d’une violation par ShinyHunters.

Les rapports publics suggèrent une confusion autour du calendrier, de la portée et de la nature du compromis. Certaines institutions auraient eu du mal à déterminer si leurs environnements locaux avaient été directement piratés ou si l’exposition était limitée à la plate-forme du fournisseur.

Pour les équipes de direction, cela renforce une leçon essentielle : les cyberincidents sont autant des crises de communication que des événements techniques. Les organisations qui réussissent le mieux à gérer les cyberincidents majeurs sont souvent celles capables de fournir des communications claires, transparentes et crédibles dès le début du cycle de vie de la réponse.

Une communication retardée ou incomplète pendant une crise amplifie souvent les dommages à la réputation, car les parties prenantes commencent à combler les vides d’informations par la spéculation et la méfiance.

Économie des attaques

Les conseils d’administration devraient également prendre note des implications stratégiques liées aux ransomwares et à l’économie de l’extorsion. Bien que les détails publics restent incomplets, plusieurs rapports suggèrent que des négociations ou des accords de rançon pourraient avoir eu lieu entre le vendeur et les attaquants. Cela reflète une tendance plus large à laquelle sont confrontées les entreprises à l’échelle mondiale. Les ransomwares sont passés d’une perturbation opérationnelle à des campagnes d’extorsion multidimensionnelles impliquant le vol de données, la pression sur la réputation, les menaces d’exposition publique et l’effet de levier sur les interruptions d’activité.

Continuité et reprise des activités

Les dirigeants doivent reconnaître que la planification de la résilience ne peut pas se concentrer uniquement sur les mesures techniques de rétablissement. Les stratégies de continuité des activités doivent intégrer le risque lié au calendrier opérationnel, les scénarios d’escalade de la réputation, la gestion des communications, l’exposition réglementaire et les cadres décisionnels de la direction concernant les événements d’extorsion. Les organisations sous-estiment souvent la rapidité avec laquelle les cyberincidents évoluent en situations de gestion de crise à l’échelle de l’entreprise nécessitant une coordination juridique, des relations publiques, de la conformité, des assurances et du conseil d’administration.

Minimisation des données

De nombreuses organisations continuent d’accumuler de grandes quantités de données historiques sans évaluer suffisamment si la conservation à long terme reste nécessaire sur le plan opérationnel. Plus le référentiel de données centralisé est grand, plus l’environnement devient attrayant pour les acteurs menaçants orientés vers l’extorsion. Les établissements de santé et d’enseignement sont particulièrement vulnérables dans la mesure où les systèmes de gestion de données contiennent souvent des années de communications, de cours, de données comportementales, d’informations de notation et de dossiers d’identité. La gouvernance de la conservation des données doit donc devenir une discussion stratégique au niveau du conseil d’administration plutôt qu’une question de gestion des documents purement opérationnelle.

Impacts à long terme et problèmes de violation secondaire

Une préoccupation souvent négligée concernant les incidents de rançon/exfiltration de données est l’impact potentiel à long terme associé aux données de communication exposées. Même lorsque les mots de passe ou les informations financières ne sont apparemment pas affectés, l’exposition à grande échelle des métadonnées de communication, des relations institutionnelles et des identifiants personnels crée un risque important en aval. Les acteurs malveillants peuvent exploiter ces informations pour de futures campagnes de phishing, des opérations d’ingénierie sociale, de collecte d’informations d’identification et de fraude d’identité. Les responsables de la cybersécurité doivent penser au-delà du confinement immédiat et évaluer comment les informations volées peuvent alimenter de futures attaques des mois, voire des années plus tard.

Quelle est la prochaine étape ?

Dans une lettre datée du 11 mai 2026, le membre du Congrès américain Andrew R. Garbarino, président du Comité de la sécurité intérieure, a demandé à Steve Daly, PDG d’Instructure Holdings, Inc., de participer à une séance d’information avec le Comité, qui sera programmée à un moment mutuellement convenable au plus tard le jeudi 21 mai 2026.

Restez à l’écoute!

Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?

CyberattaquesCybercriminalitéSécuritéContinuité des activitésSécurité des données et des informations

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Red and white round plastic toy
Leçons de la cyberattaque Canvas
A picture of Resorts World Queens
Resorts World devient rapidement le casino le plus rentable de New York
Black hat hacker in mask and hoodie trying to destroy financial piggy bank from digital bank customer dark background. Cyber security and Cybercrime concept. Business investment embezzlement theme.
L’IA pourrait enfin débloquer les cyber-budgets que les RSSI réclament depuis des années