Les pirates ont publié une liste massive d’établissements d’enseignement prétendument affectés par la violation croissante de données du LMS Canvas, avec des noms tels que l’Université Harvard, le MIT, l’Université d’Oxford, ainsi que des milliers d’écoles dans plusieurs pays.
La fuite est liée au groupe de cybercriminalité ShinyHunters, qui affirme avoir piraté des systèmes connectés à Canvas, la plateforme de gestion de l’apprentissage largement utilisée développée par Instructure. Les assaillants affirment que l’incident touche près de 9 000 institutions et jusqu’à 275 millions de personnes dans le monde.
Selon des dossiers publiés par le groupe, environ 8 809 organisations éducatives figurent sur la liste des victimes divulguées. Les institutions couvrent au moins 10 pays, la majorité étant située aux États-Unis, suivis par l’Australie, le Royaume-Uni et certaines parties de l’Europe.
Parmi les organisations prétendument touchées figurent des universités reconnues mondialement, notamment Harvard, Oxford, MIT, Princeton et l’Université de Pennsylvanie. La liste comprend également des lycées, des établissements professionnels et plusieurs entités corporatives soupçonnées d’utiliser Canvas pour des programmes de formation des employés.
ShinyHunters affirme que la violation a révélé de grands volumes de données éducatives sensibles, notamment des noms, des adresses e-mail, des numéros d’identification d’élèves, ainsi que des milliards de messages privés échangés entre élèves, enseignants et administrateurs via la plateforme.
Instructure a confirmé un incident de cybersécurité impliquant Canvas, mais n’a pas vérifié l’ampleur des affirmations des attaquants. L’entreprise a indiqué que les informations exposées pouvaient inclure des données d’identification et des communications utilisateurs, bien qu’elle ait précisé qu’il n’existe actuellement aucune preuve que des mots de passe, des données financières, des dates de naissance ou des identifiants délivrés par le gouvernement aient été compromis.
L’entreprise a également déclaré avoir révoqué des identifiants privilégiés, fait tourner les clés de sécurité, corrigé les systèmes affectés et renforcé la surveillance, tout en travaillant avec des spécialistes externes de la criminalistique pour enquêter sur l’incident.
Cette violation a suscité des inquiétudes dans tout le secteur de l’éducation car Canvas est l’un des systèmes de gestion de l’apprentissage les plus utilisés au monde. Plus de 40 % des collèges et universités dépendraient de cette plateforme pour les cours, les devoirs, la messagerie et la gestion numérique de la classe.
Plusieurs universités et écoles à travers le monde ont déjà reconnu avoir reçu des notifications liées à l’incident. Des établissements d’enseignement en Australie, en Suède et dans d’autres pays ont confirmé qu’ils évaluent une exposition potentielle liée aux données des élèves et du personnel.
Les autorités et les administrateurs scolaires sont particulièrement préoccupés par la possible exposition de communications privées dans les milieux éducatifs. Les chercheurs avertissent que des conversations fuitées, des adresses e-mail et des dossiers institutionnels pourraient être exploités dans des attaques de phishing, des campagnes de vol d’identité ou des opérations ciblées d’ingénierie sociale.
L’incident met également en lumière les risques croissants en cybersécurité auxquels sont confrontées les établissements d’enseignement. Les universités et les écoles sont devenues des cibles de plus en plus attractives pour les groupes de cybercriminels car elles stockent de grandes quantités de données personnelles tout en opérant souvent dans des environnements informatiques fragmentés et avec des ressources de sécurité limitées.
ShinyHunters s’est imposé ces dernières années comme l’un des groupes de cybercriminalité les plus actifs axés sur l’extorsion, ciblant à plusieurs reprises les services cloud, les fournisseurs SaaS, les universités et les plateformes d’entreprise. Le groupe a déjà été lié à des violations affectant les environnements Salesforce, les entreprises de télécommunications, les institutions financières et les agences gouvernementales.
Les chercheurs affirment que le groupe combine fréquemment le vol de données avec des tactiques d’extorsion publique, menaçant de divulguer des informations volées à moins que les victimes n’acceptent des négociations. Dans de nombreux cas, les attaquants publient des noms de victimes ou des jeux de données partiels pour accroître la pression et attirer l’attention des médias.
L’incident de la Toile semble correspondre à ce schéma. ShinyHunters a continué à diffuser des informations supplémentaires concernant la fuite, y compris des listes d’institutions présumées affectées, tout en avertissant les organisations de contacter le groupe avant que d’autres données ne soient divulguées publiquement.
Les analystes de la sécurité estiment que l’ampleur réelle de la faille reste incertaine car une vérification indépendante des affirmations des attaquants est toujours en cours. Cependant, si les chiffres fournis par ShinyHunters s’avèrent exacts, l’incident pourrait devenir l’une des plus grandes violations de données dans le secteur de l’éducation enregistrées.