La plateforme d’apprentissage numérique Canvas a été mise hors ligne jeudi, plongeant des milliers d’écoles à travers les États-Unis dans le chaos, au moment même où nombre d’entre elles terminaient leurs examens finaux et leurs devoirs de fin d’année. Cette perturbation n’était pas un problème technique de routine mais le résultat direct d’une cyberattaque sophistiquée contre Instructure, la société propriétaire de Canvas.
L’incident met en lumière un paysage changeant en matière de cybercriminalité, où les gangs de ransomwares vont au-delà du simple vol de données pour perturber activement les infrastructures critiques. En détruisant une plateforme utilisée par des millions d’étudiants, les attaquants ont démontré que les établissements d’enseignement ne sont pas seulement des cibles faciles pour l’exfiltration de données, mais aussi des leviers viables pour provoquer des perturbations sociétales généralisées.
Une attaque coordonnée contre l’éducation
Les problèmes ont commencé le 1er mai, lorsqu’Instructure a signalé un incident de cybersécurité perpétré par un groupe utilisant le surnom “ShinyHunters.” Selon le responsable de la sécurité des informations d’Instructure, Steve Proud, la violation a compromis les données sensibles des utilisateurs des institutions concernées, notamment :
- Noms et adresses e-mail
- Numéros d’identification des étudiants
- Messages privés échangés sur la plateforme
Alors qu’Instructure avait déclaré mercredi l’incident “résolu”, affirmant que Canvas était pleinement opérationnel, la situation s’est rapidement détériorée jeudi. Les mises à jour de statut à midi ont révélé des difficultés de connexion, suivies peu de temps par un arrêt complet. Instructure a placé Canvas, ainsi que ses environnements bêta et de test, en mode maintenance pendant plusieurs heures.
Cette interruption a coïncidé avec une deuxième vague d’attaques. Les pirates ont dégradé les pages de connexion de divers portails scolaires en injectant des fichiers HTML. À l’Université Harvard, par exemple, l’écran de connexion a été modifié pour afficher une liste des écoles prétendument compromises et une demande de négociation. Le message avertissait les institutions de contacter le groupe avant le 12 mai, sous peine de voir leurs données divulguées publiquement.
Les « ShinyHunters » et l’évolution de la cyber-extorsion
Le groupe à l’origine de l’attaque opère sous le nom de ShinyHunters, une marque historiquement associée au tristement célèbre collectif de hackers russophones connu sous le nom de The Com. Mais l’attribution est complexe. Le nom « ShinyHunters » a été adopté par divers groupes dissidents au fil des ans, tout comme le surnom de « Lapsus$ ».
Allison Nixon, directrice de recherche de la société de cybersécurité Unit 221b, suggère que l’activité actuelle est liée à un sous-groupe parfois appelé ScatteredLapsus$Hunters. Ce groupe est connu pour ses tactiques d’extorsion agressives et souvent théâtrales.
“Ce genre de tactiques de pression commence à ressembler beaucoup plus à une mafia violente plutôt qu’à n’importe quel type de hacker qualifié”, a noté Nixon.
Les méthodes des attaquants vont au-delà de l’intrusion numérique. Pour forcer les paiements, les groupes associés à Com ont historiquement eu recours à des attaques par déni de service distribué (DDoS), bombardé les victimes d’appels téléphoniques et même menacé les familles de dirigeants d’entreprise. Dans le cas de Canvas, les pirates ont initialement répertorié Instructure et ses clients sur leur site de fuite du dark web, se plaignant du refus de l’entreprise de négocier. Jeudi soir, ces références avaient disparu – une tactique que Nixon décrit comme une stratégie de manipulation visant à encourager le paiement ou à signaler la fin d’une phase de négociation.
Pourquoi c’est important : la vulnérabilité systémique
L’ampleur de la panne de Canvas est importante. Les pirates affirment avoir piraté les données de plus de 8 800 écoles, même si l’ampleur exacte reste à l’étude. De grandes institutions, dont Harvard, Columbia, Rutgers et Georgetown, ont émis des alertes à leurs communautés.
Cet incident nous rappelle brutalement le risque systémique inhérent à la technologie éducative centralisée. Lorsqu’un seul fournisseur de logiciels devient l’épine dorsale de l’éducation nationale, il devient également un point d’échec unique. Les perturbations auxquelles sont confrontés les étudiants et les enseignants pendant les périodes scolaires critiques soulignent le coût élevé de ces attaques, qui se mesure non seulement en pertes financières, mais aussi en termes de continuité éducative et de confidentialité des étudiants.
En outre, l’attaque soulève des questions sur la coopération internationale nécessaire pour lutter contre la cybercriminalité. Nixon a souligné que les récidivistes comme ce groupe peuvent intensifier leurs opérations au fil des années, exploitant les lacunes de la coordination mondiale des forces de l’ordre.
Conclusion
L’arrêt de Canvas est plus qu’un inconvénient temporaire ; il s’agit d’une étude de cas sur l’évolution moderne des ransomwares. En ciblant les infrastructures éducatives essentielles, ShinyHunters a démontré que les cybercriminels sont prêts à perturber la vie quotidienne pour maximiser leur influence. Alors que les écoles restent fortement dépendantes des plateformes centralisées, le besoin de défenses robustes en matière de cybersécurité et de coopération juridique internationale n’a jamais été aussi urgent.
