Désormais documentée comme la plus grande fuite de données de l'histoire de l'éducation, la fuite de données Canvas LMS a vu le groupe de hackers ShinyHunters dérober 3,65 téraoctets de données touchant 275 millions d'étudiants et de personnels dans 8 809 établissements dans le monde. Le 11 mai 2026, Instructure - la société éditrice de Canvas - a confirmé le paiement d'une rançon non divulguée et la destruction des données volées.
Comment ShinyHunters a exécuté la fuite de données Canvas LMS
L'attaque a débuté le 25 avril 2026. ShinyHunters a exploité une faille dans le programme Free-For-Teacher de Canvas - des comptes enseignants créés sans vérification stricte de l'identité -, pour pénétrer dans l'infrastructure générale du réseau. Le 3 mai, le groupe a revendiqué publiquement l'attaque et menacé de divulguer l'intégralité des 3,65 To de données si Instructure ne payait pas avant le 12 mai.
Instructure a d'abord gardé le silence. ShinyHunters a répliqué le 7 mai en menant une deuxième intrusion - défigurant la page de connexion Canvas pour prouver son accès persistant et remettre le compte à rebours à zéro. Cette double attaque a semé la panique dans les universités américaines, canadiennes, européennes et australiennes en plein pic des examens, contraignant beaucoup d'entre elles à reporter leurs épreuves finales.
275 millions de dossiers : que s'est-il exactement passé ?
- Données personnelles : noms complets, adresses, e-mails et numéros d'identification des étudiants et personnels de 8 809 établissements.
- Communications privées : messages directs, retours sur les devoirs et e-mails confidentiels échangés entre étudiants et enseignants via Canvas.
- Données académiques : noms de cours, statut d'inscription, notes historiques et dossiers académiques permanents.
- Ampleur totale : 275 millions de personnes issues d'universités, de ministères de l'éducation et d'écoles dans des dizaines de pays.
Harvard University, Duke University et l'Université de Pennsylvanie figurent parmi les établissements officiellement touchés. La fuite de données Canvas LMS est déjà répertoriée par Wikipedia comme la plus grande cyberattaque jamais enregistrée dans le secteur éducatif.
Instructure paie - mais les données sont-elles vraiment détruites ?
Le 11 mai, Instructure a présenté des excuses publiques pour son manque de transparence et annoncé avoir conclu un accord contraignant avec ShinyHunters pour un montant non divulgué. La société a déclaré que les données compromises avaient été définitivement détruites après le paiement.
La faille de sécurité à l'origine de l'attaque
Le vecteur d'attaque - des comptes enseignants gratuits distribués sans aucune vérification d'identité - met en évidence un manque systémique dans la sécurité des plateformes éducatives modernes. ShinyHunters a utilisé des identifiants que la plateforme elle-même proposait librement pour s'introduire dans l'infrastructure protégée. Ce point d'entrée ne nécessitait aucun exploit zero-day sophistiqué, simplement l'exploitation d'une faille logique dans la gestion des droits.
Des chercheurs en sécurité chez Halcyon et Bitdefender ont souligné que cette attaque s'inscrit dans un schéma plus large d'acteurs de ransomwares ciblant le secteur éducatif, qui détient de larges volumes de données avec des budgets de cybersécurité plus réduits que les entreprises.
Pourquoi la sécurité réseau est plus cruciale que jamais
Cette attaque illustre une leçon essentielle : sécuriser sa connexion est la première ligne de défense personnelle. Les hackers obtiennent souvent leurs premières informations d'identification en interceptant du trafic non chiffré sur les réseaux Wi-Fi publics des campus. Un seul identifiant compromis suffit pour sonder des plateformes comme Canvas à la recherche de nouvelles vulnérabilités.
En chiffrant leur connexion, étudiants et enseignants rendent la tâche nettement plus difficile aux intrus locaux. Réduire son exposition sur les réseaux publics reste une pratique judicieuse - et c'est précisément le type de scénario dans lequel un VPN apporte une protection concrète.
Que doivent faire immédiatement les étudiants concernés ?
- Changez votre mot de passe Canvas et activez l'authentification multifacteur via une application d'authentification.
- Soyez vigilant face aux e-mails de phishing ciblés envoyés à votre adresse e-mail institutionnelle.
- Si vous avez réutilisé votre mot de passe Canvas sur d'autres plateformes, changez-les immédiatement.
- Surveillez toute activité de connexion inhabituelle sur tous les comptes liés à votre e-mail universitaire.
