La fuite de données chez Instructure/Canvas, qui a récemment fait la une de l'actualité en matière de cybersécurité, a franchi une nouvelle étape.
Des millions d'étudiants ont vu leurs données personnelles volées; le groupe de cybercriminels ShinyHunters a revendiqué cette violation de données et a intensifié la pression pour obtenir le paiement de sa rançon en contactant directement les utilisateurs de Canvas.
Ce qui semble avoir porté ses fruits. Sur la page web d'Instructure consacrée à la récente violation de données, une mise à jour datée du 11 mai 2026 indique :
« Nous savons que la crainte d'une éventuelle publication des données liées à cet incident reste une préoccupation majeure pour de nombreux clients. Nous comprenons à quel point de telles situations peuvent être perturbantes, et la protection de notre communauté reste notre priorité absolue. »
« Consciente de cette responsabilité, Instructure a conclu un accord avec l'acteur non autorisé impliqué dans cet incident. »
Cela signifie qu'Instructure a versé de l'argent à ShinyHunters. Il est presque certain qu'une partie de cette somme servira à financer de futures opérations de cybercriminalité. La question de savoir si les entreprises doivent céder aux demandes de rançon ou d'extorsion fait toujours l'objet d'un débat controversé, et ce n'est pas un sujet que je souhaite relancer ici.
Ce que je ne comprends pas, c'est la phrase suivante dans la mise à jour :
« On nous a restitué les données. »
Même si cela vise peut-être à rassurer, en matière de cybersécurité, les données ne sont pas un ordinateur portable emprunté ou un dossier égaré. Une fois copiées, elles peuvent l'être encore et encore.
Cela est important car cet incident ne concernait pas seulement un accès temporaire. Selon Instructure, cet accès non autorisé a permis de mettre la main sur des identifiants, des adresses e-mail, des noms de cours, des informations d'inscription et des messages.
On ne peut pas simplement « restituer » les données
Ainsi, lorsqu’une entreprise affirme que les données ont été « restituées » et que des «registres de destruction » ont été fournis, la véritable question n’est pas de savoir si les pirates détiennent toujours les fichiers originaux. Il s’agit plutôt de déterminer si des copies ont été réalisées, si ces copies ont été diffusées et à qui. En somme, il s’agit de savoir si les risques induits par cette violation ont réellement été éliminés. Alors que ce type de cybercriminels a tendance à agir en se fondant sur la confiance, les données numériques ne disposent pas d’une fonction de rappel garantie.
La bonne nouvelle, c'est qu'Instructure affirme qu'aucun mot de passe, date de naissance, numéro d'identification officiel ni information financière n'a été compromis. Cependant, les noms, adresses e-mail, détails des cours et messages privés suffisent encore à alimenter des attaques de phishing et d'ingénierie sociale très ciblées, bien après que les gros titres auront disparu.
Pour les élèves et leurs familles, les conseils pratiques de notreblogd'origine restent d'actualité :
- Réinitialiser les mots de passe liés à Canvas
- Activez l'authentification à plusieurs facteurs dès que possible
- Suivre les opérations financières et de crédit à mesure que les enfants grandissent
- Méfiez-vous des tentatives d'hameçonnage très personnalisées qui font référence à de véritables établissements scolaires, cours ou enseignants
Votre nom, votre adresse et votre numéro de téléphone sont probablement déjà en vente.
Les courtiers en données collectent et vendent vos données personnelles à quiconque est prêt à payer. Malwarebytes Personal Data Remover lesPersonal Data Remover , supprime vos informations, puis veille sur la situation pour s'assurer que cela reste ainsi.
