Un piratage géant a frappé Instructure, maison-mère de Canvas. Le groupe ShinyHunters revendique 3,65 téraoctets de données dérobées et 275 millions de personnes concernées dans 8 809 établissements scolaires sur quatre continents. Les pirates ont fixé l'ultimatum au 12 mai, alors que les victimes disposent de très peu de recours juridiques directs.
Des intrus ont pénétré les serveurs d'Instructure le 25 avril dernier. Le 1er mai, l'éditeur américain a reconnu l'incident et l'a déclaré contenu. Mais le 7 mai, les pages de connexion de Harvard, Princeton, Pennsylvania ou de l'Université de Melbourne redirigeaient toutes vers une note de rançon signée ShinyHunters, ce groupe impliqué dans le piratage d'un portail de la Commission européenne.
Le groupe affirme avoir volé 3,65 téraoctets de données, soit environ 275 millions de profils, et menace de tout publier si Instructure ne paie pas avant le 12 mai. Noms, adresses e-mail, identifiants étudiants et messages privés entre élèves et enseignants font partie du butin et seuls les mots de passe et données financières ont échappé au pillage selon l'éditeur.
Huit pays ont signalé des perturbations et plusieurs universités australiennes ont accordé des prolongations à leurs étudiants en plein examens de fin d'année.
Les pirates négocient désormais école par école
Lors des campagnes précédentes, les hackers demandaient un chèque de rançon unique versé par le fournisseur, mais cette fois, les attaquants ont changé de méthode en cours de route. Après l'expiration du premier ultimatum, ShinyHunters a défacé les portails de connexion d'environ 330 établissements puis a basculé vers une extorsion école par école.
Le plus surprenant dans cette histoire, c'est le profil du gang. Selon Luke Connolly, analyste chez Emsisoft, ShinyHunters rassemble des adolescents et jeunes adultes basés aux États-Unis et au Royaume-Uni, formé en 2020.
FERPA, la loi qui n'autorise aucune plainte des victimes
La loi américaine FERPA encadre la confidentialité des données scolaires depuis 1974. Dans l'arrêt Gonzaga University v. Doe de 2002, la Cour suprême a écarté tout droit privé d'action sous FERPA. Ni étudiants ni parents ne peuvent attaquer en justice pour violation de la loi. Il n'ont plus à leur disposition que la plainte auprès du Département de l'Éducation, et la sanction maximale en serait qu'une une suspension des financements fédéraux à l'école.
Le sous-traitant en Utah détient l'intégralité des fichiers, et la loi fédérale n'atteint Instructure qu'indirectement. Le cabinet eClassActions a ouvert une enquête en vue d'un recours collectif, mais l'action portera alors sur une obligation commerciale entre l'éditeur et l'école, et non sur un droit fondamental des élèves.
Canvas tourne dans 41 % des universités américaines. ShinyHunters cible justement ce profil de fournisseur principal depuis deux ans, car frapper un seul prestataire ouvre l'accès à des milliers de clients en aval.
D'autant que le collectif est rompu à l'exercice, si l'on se souvient de l'attaque de Google par phishing vocal en août 2025, quelques semaines après que la firme américaine avait elle-même alerté sur ce groupe. En avril 2026, le même mode opératoire a frappé Rockstar Games via Anodot, un outil de monitoring branché sur les serveurs Snowflake du studio, avec une rançon de 200 000 dollars à la clé.
Les fichiers dérobés à Instructure contiennent en revanche des messages privés entre élèves mineurs et enseignants, profil de données inédit dans ce type d'attaque sur fournisseur central.
Les hackers ont fixé l'expiration de leur ultimatum au 12 mai. Instructure n'a fait aucune annonce publique concernant un éventuel paiement.
Source : 404Media
