Instructure, la société à l'origine du système de gestion de l'apprentissage (LMS) Canvas, a confirmé avoir subi un incident informatique suivi d'une fuite de données affectant son environnement hébergé dans le cloud.
Le groupe de ransomware ShinyHunters revendique la responsabilité de cette attaque et affirme avoir dérobé environ 275 millions d'enregistrements concernant des élèves, des enseignants et des membres du personnel.
Les cybercriminels ont transmis à BleepingComputer une liste de 8 809 districts scolaires, universités et plateformes d'enseignement en ligne dont les instances Canvas auraient été compromises, le nombre d'enregistrements par établissement allant de plusieurs dizaines de milliers à plusieurs millions.
Vérifiez si vos données personnelles ont été exposées.
Que faire si les données Instructure/Canvas de votre enfant ont été compromises ?
Si l'on vous a informé que votre enfant a été concerné par la violation de données chez Instructure, vous vous demandez peut-être ce que vous pouvez faire pour le protéger. Voici quelques mesures concrètes que vous pouvez prendre dès maintenant.
1. Vérifiez ce qu'en disent l'établissement et Instructure
Commencez par consulter l'avis publié par l'établissement scolaire ou l'académie, ainsi que les mises à jour d'Instructure, afin de déterminer quelles données concernant votre enfant ont été concernées (par exemple : nom, adresse e-mail, numéro d'étudiant ou informations sur les cours). Suivez les instructions spécifiques qu'ils recommandent concernant les comptes des élèves et restez attentif aux messages de suivi au cas où de nouvelles informations seraient communiquées.
Avant toute chose, assurez-vous que la notification est authentique. Si un élément du message vous semble suspect, comme des liens inhabituels, une pression pour agir immédiatement ou des demandes d'informations supplémentaires, vérifiez d'abord ces points. Rendez-vous directement sur le site de l'académie ou d'Instructure et utilisez les coordonnées qui y figurent pour vérifier.
2. Protégez les comptes scolaires et d'apprentissage de votre enfant
Si votre enfant possède un compte Canvas ou un compte similaire, modifiez immédiatement son mot de passe, surtout si son établissement autorise les élèves ou les parents à se connecter à l'aide d'un identifiant et d'un mot de passe plutôt que via une authentification unique. Si votre enfant a tendance à réutiliser ses mots de passe (par exemple, s'il utilise le même pour ses comptes Canvas, de messagerie électronique et de jeux en ligne), modifiez également ces autres mots de passe.
Attribuez à chaque compte un mot de passe solide et unique, et pensez à utiliser un gestionnaire de mots de passe familial afin de pouvoir les créer et les enregistrer sans avoir à compter sur votre mémoire. Pour les plus jeunes, vous pouvez gérer vous-même ces identifiants et tenir à jour une liste des plateformes éducatives qu’ils utilisent.
3. Activez l'authentification à plusieurs facteurs lorsque cela est possible
L'authentification multifactorielle (MFA) rend beaucoup plus difficile l'accès à un compte à l'aide d'un simple mot de passe. Si votre établissement ou votre académie l'autorise pour les comptes des parents ou des élèves (par exemple, un code envoyé par SMS, par e-mail ou généré par une application d'authentification), activez cette fonctionnalité et, dans l'idéal, faites en sorte que les codes soient envoyés sur un appareil ou une application que vous contrôlez.
Rappelez à votre enfant que les codes de sécurité sont comme des mots de passe temporaires. Il ne doit jamais les communiquer à ses amis, à ses enseignants ou à quiconque se présentant comme un « technicien informatique », même si le message semble urgent ou reprend les couleurs de l'école.
4. Envisagez une protection supplémentaire de l'identité pour les mineurs
Si la fuite concernait des identifiants très sensibles (tels que le numéro d'identité national ou le numéro de sécurité sociale dans certaines régions), demandez à la fois à l'établissement scolaire et au prestataire concerné quelles mesures de protection sont proposées pour les mineurs, comme la surveillance du crédit ou des services de rétablissement d'identité. Dans certains pays, vous pouvez également demander un gel du crédit ou une mesure similaire pour le dossier d'un mineur afin d'empêcher l'ouverture de nouveaux comptes à son nom.
Même si votre enfant est encore trop jeune pour avoir un dossier de crédit aujourd’hui, il est utile de noter cet incident afin de ne pas oublier de vérifier son dossier lorsqu’il aura l’âge requis.
5. Restez vigilant face aux tentatives d'escroquerie qui pourraient suivre
Les pirates aiment réutiliser les données volées sur les plateformes éducatives pour rendre leurs messages de hameçonnage et d'escroquerie plus convaincants, en mentionnant des noms d'établissements, d'enseignants ou de cours réels. Méfiez-vous tout particulièrement des e-mails et des SMS qui prétendent provenir de votre établissement, de votre académie ou d'Instructure et qui vous demandent de « confirmer » vos identifiants de connexion, d'ouvrir des pièces jointes inattendues (comme de « nouveaux devoirs ») ou de régler des frais par des moyens inhabituels.
En règle générale, évitez de cliquer sur les liens contenus dans les messages non sollicités concernant cette violation. Ouvrez plutôt une nouvelle fenêtre de navigateur et rendez-vous sur le site officiel ou l'application comme vous le feriez habituellement, puis connectez-vous à partir de là pour vérifier si vous avez reçu des messages.
Que savent les cybercriminels à votre sujet ?
Utilisez l'analyse gratuite Digital Footprint Malwarebytes pour vérifier si vos informations personnelles ont été exposées en ligne.
