Fuite Canvas LMS : ShinyHunters revendique 275 millions de comptes ; Instructure dit avoir payé pour la « suppression »

Instructure, opérateur du LMS Canvas utilisé par environ 70 % des établissements supérieurs américains, a conclu plus tôt ce mois-ci un « accord » avec le groupe d’extorsion ShinyHunters, après que celui-ci a exfiltré 3,65 To de données portant sur ~275 millions d’utilisateurs et ~9 000 établissements.

L’éditeur affirme que ShinyHunters a restitué les données et fourni une « confirmation numérique de destruction ». Les chercheurs en sécurité indépendants disent ce que vaut cette confirmation : rien.

Chronologie

• 30 avril – 7 mai 2026 : fenêtre d’exfiltration initiale. Les attaquants ont utilisé l’offre Free-For-Teacher d’Instructure — un tier gratuit destiné aux enseignants — comme point d’entrée pour pivoter vers les tickets de support et le contenu des tenants.
• 3 mai : ShinyHunters revendique publiquement.
• 7 mai : seconde vague — les portails de connexion d’environ 330 établissements sont défigurés avec un message d’extorsion donnant à Instructure jusqu’au 12 mai pour payer.
• 11 mai : Instructure annonce un « accord » avec l’acteur.
• 24 mai : les chercheurs continuent d’alerter sur le risque sous-jacent — des données copiées ne cessent pas de l’être.

Ce qui a été pris

Instructure a confirmé l’exposition de :

• noms d’utilisateurs,
• adresses e-mail,
• identifiants étudiants,
• noms de cours et informations d’inscription,
• certains messages privés échangés entre élèves et enseignants.

Non exposés (selon Instructure) : mots de passe, dates de naissance, identifiants gouvernementaux, informations financières.

Les reportages indépendants évaluent le butin à environ 275 millions d’enregistrements. L’offre Free-For-Teacher a été temporairement coupée pendant la réponse à incident.

L’« accord »

Instructure n’a pas confirmé publiquement de montant. ShinyHunters a déclaré publiquement avoir été payé et avoir rendu le dataset. Plusieurs analystes ont fait le constat évident — une fois qu’un jeu de données a été copié sur l’infra de l’attaquant, payer pour la « suppression » achète une promesse, pas une garantie. ShinyHunters a un historique de monétisation différée après ce type d’accord, par revente ou par extorsion ciblée d’individus nommés.

Pieter Arntz, de Malwarebytes, le formule directement : « la donnée n’est pas un ordinateur portable prêté ou un classeur égaré. Une fois copiée, elle peut être copiée encore, et encore. »

Pourquoi ça compte au-delà de Canvas

Deux raisons.

D’abord, le vecteur d’accès. ShinyHunters est entré par un tier gratuit, à faible friction, conçu pour faciliter l’inscription des enseignants. Tout produit avec un free tier qui donne accès à un tenant de votre plateforme lit maintenant cet avis avec une attention nouvelle.

Ensuite, le précédent. Si Instructure a effectivement payé, cela fixe un prix pour l’extorsion contre les SaaS de l’éducation — un secteur peuplé de milliers d’éditeurs similaires, la plupart avec une posture sécurité bien plus faible qu’Instructure. Les imitateurs vont suivre.

Si vous êtes concerné

Vous l’êtes probablement : si vous êtes étudiant, enseignant ou personnel d’un établissement américain utilisant Canvas, votre nom, votre e-mail, votre liste de cours et peut-être vos messages privés doivent être considérés comme exposés.

• Traitez tout e-mail non sollicité référençant vos cours, vos camarades ou un enseignant nommé comme une tentative de phishing pendant au moins 12 mois. Les attaquants disposent du matériel idéal pour des leurres ciblés.
• Si votre établissement a publié un avis, suivez ses consignes de rotation d’identifiants.
• Méfiez-vous des e-mails « réinitialisation de mot de passe Canvas ». Tapez l’URL à la main.

C’est la deuxième opération de ShinyHunters contre Instructure en huit mois — la première, en septembre 2025, visait les systèmes côté Salesforce via du social engineering. Le motif n’est pas aléatoire.