Une panne de plateforme est devenue une perturbation académique nationale

La faille chez Instructure, l’entreprise derrière la plateforme d’apprentissage numérique Canvas largement utilisée, est devenue bien plus qu’un incident classique de cybersécurité lorsque le service a été placé en mode maintenance et que des milliers d’écoles ont perdu l’accès en même temps. La perturbation est survenue à un moment particulièrement sensible, touchant des établissements pendant les examens finaux et les devoirs de fin d’année, et transformant un problème de sécurité d’entreprise en crise opérationnelle majeure pour l’éducation.

Selon le reportage de Wired, des attaquants utilisant le nom ShinyHunters annonçaient la faille et tentaient d’extorquer une rançon à Instructure depuis le 1er mai. Jeudi, l’impact est devenu impossible à ignorer pour les utilisateurs ordinaires, alors que l’arrêt de Canvas semait le chaos dans les écoles aux États-Unis et au-delà.

L’enseignement supérieur a longtemps été une cible des attaques par rançongiciel et extorsion de données, mais ce cas se distingue par la concentration du risque dans une seule plateforme logicielle. Au lieu de paralyser un seul campus, un service utilisé par des universités, des collèges et des districts scolaires est devenu le point de défaillance.

Ce qu’Instructure dit avoir été exposé

Dans un journal de mise à jour continu de l’incident commencé le 1er mai, le directeur de la sécurité de l’information d’Instructure, Steve Proud, a déclaré que l’entreprise avait récemment subi un incident de cybersécurité commis par un acteur malveillant criminel. Le 2 mai, il a indiqué que les informations concernées pour les utilisateurs des établissements touchés comprenaient les noms, adresses e-mail, numéros d’identification étudiant et messages échangés sur la plateforme.

Ces détails comptent, car ils suggèrent que l’événement a dépassé la simple interruption de service. La combinaison d’informations d’identification et de messages privés peut créer des préoccupations de confidentialité et de sécurité à long terme pour les établissements et les utilisateurs, même après le rétablissement de l’accès.

L’ampleur exacte de la faille reste floue. Des pirates ont affirmé dans une liste publiée sur leur site du dark web que plus de 8 800 écoles étaient touchées. Wired a noté que ce chiffre n’avait pas été confirmé de manière indépendante. Malgré cela, des universités dont Harvard, Columbia, Rutgers et Georgetown ont envoyé des alertes aux étudiants, et des districts scolaires d’au moins une douzaine d’États semblaient également concernés.