Le propriétaire de Canvas, Instructure, a confirmé avoir payé des hackers suite à la cyberattaque massive qui a perturbé les écoles et universités pendant la semaine des examens finaux et a révélé des inquiétudes concernant le vol potentiel de données étudiantes.
L’attaque, revendiquée par le groupe de cybercriminalité ShinyHunters, a provoqué des pannes de courant généralisées sur la plateforme de gestion de l’apprentissage Canvas plus tôt ce mois-ci, bloquant étudiants et enseignants hors de cours, devoirs, supports de cours et examens dans des milliers d’institutions à travers le monde.
Dans un public statement , Instructure a reconnu avoir entamé des négociations avec les assaillants et finalement payé la demande de rançon afin d’empêcher la publication de données volées. L’entreprise a indiqué que la décision avait été prise après consultation d’experts en cybersécurité et des forces de l’ordre.
L’entreprise n’a pas rendu public le montant versé ni si les attaquants ont fourni la preuve que les données volées ont été supprimées par la suite.
La brèche a frappé à l’une des pires périodes possibles pour les établissements d’enseignement, survenant pendant les examens finaux et la saison des remises des diplômes. Des élèves d’Amérique du Nord, d’Europe, d’Australie et d’Asie ont déclaré ne pas pouvoir accéder aux supports d’étude, soumettre leurs devoirs ou passer des évaluations, car les écoles ont temporairement désactivé l’accès à Canvas pendant l’incident.
Plusieurs universités ont retardé les examens ou prolongé les délais après que la panne ait perturbé les systèmes de cours. Certaines institutions ont complètement déconnecté Canvas des réseaux internes tout en examinant une exposition potentielle des données des étudiants et du personnel.
ShinyHunters a affirmé que l’attaque avait touché près de 9 000 écoles et révélé des données liées à environ 275 millions d’utilisateurs dans le monde. Selon le groupe, les informations volées comprenaient des noms, des adresses e-mail, des numéros d’identification étudiante et des milliards de messages privés échangés via les systèmes Canvas.
Instructure a précédemment déclaré qu’il n’y avait aucune preuve que des mots de passe, des informations financières, des numéros de sécurité sociale ou des identifiants délivrés par le gouvernement avaient été compromis. L’entreprise a attribué la violation à des problèmes liés aux comptes « Free-For-Teacher » liés à la plateforme.
Lors de l’incident, certains utilisateurs tentant de se connecter à Canvas auraient été redirigés vers des messages de rançon publiés par ShinyHunters exigeant des négociations avant la date limite de fuite. Les assaillants ont menacé de rendre publiques les données volées si aucun paiement n’était effectué.
La décision de payer les hackers risque de susciter un débat parmi les experts et les éducateurs en cybersécurité. Les forces de l’ordre découragent généralement le paiement de rançons car elles peuvent encourager de futures attaques et ne garantissent pas que les données volées seront effectivement détruites.
Pourtant, les organisations confrontées à des incidents d’extorsion à grande échelle évaluent souvent le risque que des informations sensibles deviennent publiques, en particulier lorsque des millions d’élèves, d’enseignants et de personnel peuvent être touchés.
Cet incident est devenu l’une des plus grandes cyberattaques connues visant le secteur de l’éducation et a ravivé les inquiétudes quant à la dépendance croissante aux plateformes technologiques éducatives centralisées. Les chercheurs en sécurité avertissent que les grands systèmes de gestion de l’apprentissage sont devenus des cibles de plus en plus attractives car ils stockent d’énormes quantités de données personnelles et institutionnelles sensibles en un seul endroit.
Des questions subsistent également quant à savoir si toutes les données volées ont été sécurisées après le paiement. Les experts en cybersécurité notent que les groupes de ransomware et d’extorsion conservent fréquemment des copies d’informations volées même après la fin des négociations, exposant ainsi les victimes à de futures fuites ou à une revente sur des forums clandestins.
Instructure a indiqué qu’elle continue de travailler avec les enquêteurs médico-légaux et les forces de l’ordre tout en surveillant tout signe que les données volées pourraient encore apparaître en ligne.