Deutsch
English
Español
Français
Nederlands
Português
Instructure, société mère de Canvas, a confirmé un accord avec ShinyHunters après le vol des données de 275 millions d'utilisateurs. Les données ont été restituées et détruites, sans confirmation du paiement d'une rançon. La Fuite de données Canvas 2026 a perturbé les examens finaux dans des centaines d'universités, dont Harvard et Columbia.
Que s'est-il passé dans le piratage de Canvas ?
Le 3 mai 2026, ShinyHunters a exploité une vulnérabilité du système 'Free-For-Teacher' pour accéder aux données de 275 millions d'utilisateurs. Après le déploiement de correctifs par Instructure, les pirates ont défiguré les tableaux de bord de connexion le 7 mai avec une demande de rançon avant le 12 mai.
Qui sont les pirates ShinyHunters ?
Actif depuis 2019, ce groupe a ciblé Microsoft, Tokopedia et Odido. Pour Odido, la plus grande fuite de données de l'histoire des Pays-Bas, ils ont divulgué 6,2 millions de comptes après refus de rançon. Ils utilisent un modèle 'payer ou divulguer'.
Cibles et méthodes précédentes
Ils exploitent des configurations cloud, des vols de jetons et des zero-day. Parmi les victimes : Mathway (25 millions d'utilisateurs) et Wishbone. En 2022, le Français Sébastien Raoult a été extradé et condamné à trois ans de prison.
Réponse d'Instructure et accord de rançon
D'abord intransigeant, le PDG Steve Daly a reconnu une erreur de communication. Face à la pression, Instructure a négocié directement. Le communiqué indique que les données ont été restituées et détruites, sans extorsion de clients.
Impact sur les universités et les étudiants
Le piratage a forcé la mise hors ligne de Canvas, perturbant les examens finaux. L'Université d'État de Californie (460 000 étudiants) a été touchée. Les experts avertissent d'un risque accru de phishing. Les préoccupations relatives à la confidentialité des données des étudiants ont relancé les appels à des réglementations renforcées.
Quelles données ont été volées ?
- Noms et e-mails
- Identifiants étudiants et affiliations
- Messages internes
- Dates de création et dernières connexions
Aucune donnée financière ni mot de passe n'a été compromis. Le volume de 3,65 téraoctets en fait l'une des plus grandes fuites éducatives.
Comparaison : Odido vs. Violation Canvas
| Cible | Enregistrements volés | Rançon payée ? | Données publiées ? |
|---|---|---|---|
| Odido (2025) | 6,2 millions | Non | Oui |
| Canvas/Instructure (2026) | 275 millions | Non divulgué | Non (détruites) |
FAQ : Piratage Canvas
Mes données ont-elles été volées ?
Si vous utilisez Canvas, votre nom, e-mail et ID étudiant peuvent être exposés. Vérifiez auprès de votre établissement.
Instructure a-t-il payé la rançon ?
Non confirmé, mais les analystes le pensent vu la restitution des données.
Que faire si mes données sont compromises ?
Méfiez-vous des phishing, activez l'authentification à deux facteurs, changez votre mot de passe Canvas.
Canvas est-il sûr ?
Des mesures de sécurité ont été ajoutées, le programme 'Free-For-Teacher' supprimé. Restez prudent.
Qui est responsable ?
ShinyHunters a revendiqué l'attaque. Le FBI enquête.
Follow Discussion