En 2025, à peine 19 % des victimes d’extorsion sans chiffrement ont payé selon Coveware. Instructure vient de rejoindre cette minorité. Le 11 mai 2026, l’éditeur de Canvas (système de gestion d’apprentissage), a confirmé avoir conclu un « accord » avec ShinyHunters pour empêcher la publication des données volées sur sa plateforme, utilisée par plus de 30 millions d’enseignants et d’étudiants répartis dans plus de 8 000 établissements dans le monde. Aucun système n’a été chiffré, aucune donnée verrouillée : l’entreprise a payé une rançon , montant non divulgué, mais des sources non confirmées évoquent une dizaine de millions de dollars , pour un cas d’exfiltration pure. C’est la deuxième fois en dix-huit mois qu’un éditeur majeur de logiciels éducatifs paie après une exfiltration pure, PowerSchool avait fait de même en décembre 2024, avant que ses clients ne soient extorqués à nouveau avec les données prétendument détruites.
Deux intrusions, une même faille XSS jamais refermée
L’intrusion initiale a été détectée le 29 avril 2026. Des acteurs alors non identifiés,ont pénétré l’environnement Canvas via le service gratuit Free-for-Teacher, une version allégée destinée aux enseignants individuels. Le vecteur, confirmé par BleepingComputer, reposait sur des vulnérabilités XSS (cross-site scripting) logées dans les fonctionnalités de contenu généré par les utilisateurs : du JavaScript malveillant injecté pour capturer des sessions administrateur authentifiées, puis l’exécution d’actions privilégiées depuis ces comptes. ShinyHunters ne revendiquera l’attaque sur son site de fuite que le 3 mai.
Le 7 mai, cinq jours plus tard, les mêmes acteurs sont revenus par la même porte, restée ouverte. Cette fois, l’objectif n’était plus l’exfiltration mais la pression : ShinyHunters a modifié les pages de connexion Canvas affichées à certains utilisateurs pour y placarder un message d’extorsion sommant Instructure et les établissements d’ouvrir des négociations avant le 12 mai. Environ 330 portails de connexion ont été défacés, dont celui de l’université du Texas à San Antonio, dont la capture diffusée par BleepingComputer est devenue l’image emblématique de l’incident. Instructure a basculé Canvas en maintenance le jour même, détectant et neutralisant cette seconde attaque en 10 minutes grâce à la surveillance renforcée déployée après le premier accès
C’est précisément cette faille laissée béante entre les deux intrusions qui concentre les critiques de la commission du Congrès. Le représentant Andrew Garbarino (R-NY), président de la House Homeland Security Committee, a écrit directement au PDG Steve Daly : « la récurrence d’une intrusion dans les jours suivant la divulgation initiale, et l’incapacité apparente d’Instructure à remédier entièrement aux vulnérabilités sous-jacentes durant cette fenêtre, soulèvent de sérieuses questions sur les capacités de réponse aux incidents de l’entreprise ».
3,65 TB de données volées, mais ni les copies ni les mots de passe
ShinyHunters revendique le vol de 3,65 TB de données non compressées, soit environ 275 millions d’enregistrements appartenant à des étudiants, enseignants et personnels de 8 809 organisations éducatives. Instructure a confirmé que les champs exfiltrés comprennent noms d’utilisateurs, adresses e-mail, intitulés de cours, informations d’inscription et messages échangés sur la plateforme. L’entreprise a aussi été explicite sur ce qui a échappé aux attaquants : le contenu des cours, les travaux rendus et les mots de passe sont restés intacts.
Cette nuance calibre le risque réel encouru par les utilisateurs. Comme l’a résumé Halcyon, les données exfiltrées « fournissent aux acteurs de la menace suffisamment de contexte personnel pour mener des campagnes de phishing ciblées contre le personnel, les étudiants et les familles ». Un attaquant qui connaît l’adresse e-mail d’un étudiant, son université, ses cours et le nom de ses enseignants peut fabriquer des leurres redoutablement crédibles : faux service informatique, fausse aide financière, usurpation d’un professeur. Pour les établissements concernés, leurs membres deviennent des cibles prioritaires de spear-phishing pour les mois à venir. Instructure a d’ailleurs publié une fiche d’incident avec les mesures de sensibilisation à destination des utilisateurs, détaillant les scénarios d’hameçonnage les plus probables à la suite de cette fuite.
Payer pour de l’exfiltration, à contre-courant du marché
Ce qui fait de cet incident un sujet d’analyse, au-delà de sa chronologie, c’est qu’Instructure a payé sans qu’aucun système n’ait été chiffré ni qu’aucune donnée n’ait été rendue inaccessible. Or l’extorsion pure obéit à une dynamique très différente du ransomware classique. Au troisième trimestre 2025, le taux de paiement pour les attaques sans chiffrement est tombé à 19 % selon Coveware. Le taux toutes catégories confondues, lui, s’établissait à 28 % selon Chainalysis , un plus bas historique, alors qu’il atteignait encore 37 % en Q4 2022 dans un rapport Coveware. Cette baisse s’inscrit dans un recul structurel des paiements de rançon en 2025, alimenté aussi bien par l’amélioration des capacités de réponse à incident que par les actions coordonnées des forces de l’ordre contre les opérateurs et leur infrastructure.
Le précédent PowerSchool en fournit l’illustration la plus nette. En décembre 2024, l’éditeur de logiciels de gestion scolaire avait payé pour obtenir la suppression des données volées. En mai 2025, plusieurs districts scolaires clients recevaient malgré tout des messages d’extorsion appuyés sur ces mêmes données prétendument détruites. Le paiement n’avait rien empêché.
Instructure défend sa décision en termes mesurés : « Même s’il n’existe jamais de certitude absolue lorsqu’on traite avec des cybercriminels, nous avons estimé qu’il était important de prendre chaque mesure en notre pouvoir pour offrir à nos clients une tranquillité d’esprit supplémentaire, dans la mesure du possible. » En contrepartie, l’entreprise affirme avoir récupéré les données, obtenu une confirmation numérique de destruction sous forme de journaux de suppression (shred logs), et l’assurance qu’aucun de ses clients ne sera extorqué séparément. Le site de fuite de ShinyHunters a effectivement retiré l’entrée Instructure, conformément au comportement habituel du groupe après paiement.
La limite de l’accord tient en une phrase de Rebecca Moody, responsable de la recherche sur les données chez Comparitech : « ShinyHunters sont des cybercriminels. Même en payant cette demande de rançon, Instructure ne peut pas garantir que les données seront supprimées. » Michael Klein, directeur principal à l’Institute for Security and Technology, va plus loin : selon lui, le type de données concernées , contrairement à des données médicales susceptibles de causer un préjudice physique , ne justifiait pas un paiement au regard des critères qui fondent habituellement une exception au consensus contre le versement de rançons.
ShinyHunters, façade d’une alliance aux méthodes mafieuses
L’attribution mérite d’être posée avec précision. Le nom ShinyHunters est associé depuis 2020 à des opérations massives de vol et de monétisation de bases de données, avec Ticketmaster, AT&T ou Santander parmi les victimes les plus connues. Mais Allison Nixon, directrice de la recherche chez Unit 221b, qui suit le groupe de près, met en garde contre une lecture trop simple : la constellation d’acteurs opérant sous les bannières ShinyHunters, Lapsus$ ou Scattered Spider s’est recomposée au fil du temps. L’activité Canvas semble relever de ce que certains chercheurs nomment Scattered Lapsus$ Hunters, une alliance fédérant ces groupes sous une identité commune depuis août 2025.
Allison Nixon décrit des tactiques de pression qui débordent largement le cadre de l’extorsion numérique : durant les négociations, les groupes associés recourent à des attaques DDoS, des campagnes de spam et, dans les cas les plus graves, à des menaces directes contre les dirigeants et leurs familles. « Ces tactiques de pression commencent à ressembler bien plus à une mafia violente qu’à quoi que ce soit relevant du piratage qualifié », résume-t-elle. Le défacement du 7 mai relève exactement de cette logique : une démonstration de force, pas une exfiltration supplémentaire.
Canvas n’est d’ailleurs pas un coup isolé. En mars 2026, le groupe avait revendiqué le piratage de la Commission européenne, publiant une première archive de 90 Go et menaçant d’en diffuser la totalité. En janvier 2026, une campagne de vishing massive ciblant les comptes SSO d’entreprises mondiales avait révélé la montée en puissance de techniques d’ingénierie sociale combinant appels frauduleux et kits de phishing capables de contourner l’authentification multifacteur. L’attaque Canvas prolonge cette trajectoire d’escalade.
Le Congrès enquête sur un secteur éducatif désarmé
La décision de payer est tombée le jour même où la House Homeland Security Committee annonçait l’ouverture d’une enquête. Garbarino a réclamé un briefing avant le 21 mai avec le PDG ou un cadre dirigeant d’Instructure, portant sur les circonstances des deux intrusions, la nature et le volume des données accédées, et la coordination avec les forces de l’ordre fédérales et la CISA. De son côté, le Student Privacy Policy Office du Département de l’Éducation a sollicité des informations pour évaluer la conformité au FERPA (Family Educational Rights and Privacy Act, la loi fédérale qui encadre la protection des données scolaires des étudiants aux États-Unis).
Mais l’incident expose surtout un déficit structurel de la cybersécurité éducative américaine, creusé par des choix récents de politique fédérale. Michael Klein, ancien conseiller senior en cybersécurité au Département de l’Éducation, rappelle que lors de l’incident PowerSchool en décembre 2024, il avait pu réunir 41 États en quelques jours via le Critical Infrastructure Partnership Advisory Council (CIPAC) pour partager l’information et coordonner la réponse. Ce mécanisme a disparu : le Département de la Sécurité intérieure a supprimé l’autorité de ce conseil il y a un peu plus d’un an, et le MS-ISAC (Multi-State Information Sharing and Analysis Center), qui ouvrait gratuitement aux districts scolaires l’accès à la threat intelligence et à la réponse aux incidents, a perdu son financement fédéral de 48,5 millions de dollars à compter de septembre 2025 , après une première coupe d’environ 11 millions au printemps 2025. Face à l’incident Canvas, depuis son poste à l’Institute for Security and Technology, Michael Klein n’a pu coordonner que 22 États.
Le 12 mai, la Software & Information Industry Association a écrit aux deux chambres du Congrès pour réclamer 36 millions de dollars dans le budget FY 2027 : 20 millions pour refinancer le MS-ISAC, 10 millions pour rétablir un centre d’assistance à la gestion des incidents cyber dédié aux K-12, et 6 millions pour redonner au Département de l’Éducation son rôle de coordination. Le secteur admet désormais publiquement avoir perdu, en dix-huit mois, les capacités collectives de réponse aux incidents dont il disposait encore.
Class actions, FERPA et RGPD sur le terrain juridique
Plusieurs class actions (recours collectifs permettant à un groupe de plaignants d’agir conjointement en justice) ont déjà été déposées devant des tribunaux fédéraux de district. L’une des plaignantes fait valoir que la mise hors ligne de Canvas l’a privée d’accès à ses supports de cours la veille d’un examen final programmé le 8 mai, soit le lendemain de la coupure. Le cadre juridique est complexe : le FERPA n’ouvre aucun droit d’action directe aux individus contre les entreprises, ce qui rabat les recours sur les lois étatiques de protection des consommateurs et les théories de négligence. La responsabilité d’Instructure pour la faille XSS laissée ouverte entre les deux intrusions sera vraisemblablement au cœur de ces procédures.
Pour les institutions européennes utilisant Canvas, les obligations du RGPD s’ajoutent au tableau. Les données personnelles d’utilisateurs européens , adresses e-mail, identifiants, messages , relèvent de la réglementation, qui impose une notification aux autorités de contrôle dans les 72 heures suivant la connaissance d’une violation.
Un accord avec des criminels, aucune garantie pour les utilisateurs
Instructure a annoncé le déploiement de l’outil Falcon EDR de CrowdStrike sur l’ensemble de son réseau, la révocation des tokens et clés d’accès compromis, la rotation des clés internes et la restriction des mécanismes de création de tokens. La plateforme Parchment, distincte de Canvas, n’a pas été touchée, un scan ciblant les indicateurs de compromission de l’incident n’y ayant relevé aucune activité anormale.
Reste que payer pour des données déjà exfiltrées n’éteint pas le risque en aval. Le FBI l’a martelé : un porte-parole du FBI s’exprimant auprès de The Record avertit qu’un message de ShinyHunters « ne signifie pas nécessairement que vos informations personnelles ont été compromises » et déconseille fermement tout paiement ou toute réponse aux demandes. Établissements et utilisateurs doivent partir du principe que les données exfiltrées peuvent circuler indépendamment de l’accord passé entre Instructure et ses extorqueurs.
Un accord avec un groupe criminel ne lie ni ses propres membres, ni les tiers à qui des copies auraient pu être transmises avant la prétendue destruction. C’est là tout l’enseignement du précédent PowerSchool. A l’heure où le taux de paiement de rançon touche ses plus bas historiques, la décision d’Instructure agit comme un contre-signal. Comme le formule Cliff Steinhauer (National Cybersecurity Alliance) dans Inside Higher Ed, ce type de paiement « renforce la structure d’incitation économique derrière la cyber-extorsion » et risque de « normaliser le paiement comme stratégie de réponse aux incidents, ce que les forces de l’ordre déconseillent systématiquement car cela alimente de nouvelles attaques ».
À court terme, l’alerte se joue donc côté établissements, pas chez Instructure. La parade concrète tient en quelques gestes : émettre sans délai des avis de phishing personnalisés à destination des étudiants, des enseignants et du personnel administratif, en précisant quelles données ont été exposées et quels usurpations surveiller , faux messages de l’administration, liens de réinitialisation de mot de passe frauduleux, sollicitations imitant des services financiers liés aux frais de scolarité. Les personnels dont l’adresse de messagerie figure dans la fuite devraient vérifier l’absence d’activité suspecte sur leurs comptes et renforcer leur authentification multifacteur. Si le paiement a permis à Instructure de refermer le dossier médiatique, il n’a pas refermé celui des données : ce sont les mois qui viennent, et non la confirmation de destruction de ShinyHunters, qui diront si la fuite a réellement été contenue.
Sources
- Instructure : Security Incident Update & FAQs
- BleepingComputer : Instructure reaches ‘agreement’ with ShinyHunters to stop data leak
- BleepingComputer : Instructure confirms hackers used Canvas flaw to deface portals
- The Record : Instructure pays ransom after Canvas incident as Congress announces investigation
- The Hacker News : Instructure Reaches Ransom Agreement with ShinyHunters to Stop 3.65TB Canvas Leak
- DataBreaches : PowerSchool paid a hacker’s extortion demand, but now school district clients are being extorted anyway
- Higher Ed Dive : Canvas owner reaches ‘agreement’ with threat actors after data breach
- KrebsOnSecurity : Please Don’t Feed the Scattered Lapsus ShinyHunters
- Inside Higher Ed : Instructure Pays Ransom to Canvas Hackers
