Instructure, le créateur du populaire portail d’informations scolaires Canvas, a déclaré mardi avoir « conclu un accord » avec les pirates informatiques qui ont violé ses systèmes à deux reprises, volé une énorme quantité de données sur les étudiants et le personnel et perturbé des milliers d’écoles qui dépendent du logiciel de l’entreprise.
ShinyHunters, un groupe de cybercriminalité à motivation financière, s’est attribué le mérite de la violation de données du 29 avril, affirmant avoir volé les données des étudiants et du personnel, y compris les informations personnelles, d’un total de 275 millions de personnes. Les pirates ont déclaré avoir compromis Canvas, que près de 9 000 écoles utilisent pour gérer les données et les cours de leurs élèves.
La semaine dernière, les pirates ont violé l’entreprise une deuxième fois, endommageant les pages de connexion Canvas sur les sites Web des écoles, dans le cadre des efforts visant à faire pression sur l’entreprise pour qu’elle paie sa rançon.
Instructure a déclaré lundi soir sur sa page d’incident que dans le cadre de l’accord, les pirates avaient fourni la preuve que les données volées avaient été détruites et que les clients de Canvas ne seraient pas extorqués.
L’entreprise a reconnu qu’il n’y a « jamais de certitude totale » lors des négociations avec les cybercriminels, mais a noté que les clients ne devraient pas avoir à interagir avec les pirates.
Les termes financiers de l’accord n’ont pas été divulgués et Instructure n’a pas précisé combien elle avait payé aux pirates. Le porte-parole des infrastructures, Brian Watkins, n’a pas répondu à une demande de commentaires ni répondu aux questions sur l’accord lorsqu’il a été contacté mardi.
Dans un article publié sur son site de fuite, que TechCrunch a vu, ShinyHunters menaçait de publier les données volées à Instructure si l’entreprise ne payait pas sa demande d’extorsion.
Mardi, la liste avait été supprimée de la page ShinyHunters, indiquant qu’une rançon aurait pu être payée.
Un représentant de ShinyHunters a déclaré à TechCrunch : « Les données sont supprimées, disparues. L’entreprise et ses (sic) clients ne seront plus ciblés ni contactés par nous pour un paiement. »
On ne sait pas pourquoi Instructure a payé les pirates. Les gouvernements, y compris les États-Unis, exhortent depuis longtemps les victimes de la cybercriminalité à ne pas payer de rançon aux pirates informatiques, car cela aide les cybercriminels à tirer profit de leurs attaques. Les chercheurs en sécurité ont fait valoir que les victimes ne peuvent pas faire confiance aux pirates informatiques malveillants : certains cybercriminels ont été découverts en train de conserver des données volées alors qu’ils prétendaient les avoir supprimées afin de pouvoir continuer à extorquer leurs victimes.
Le piratage d’Instructure reflète une cyberattaque contre PowerSchool, qui a été touché par une violation massive de données affectant 70 millions d’élèves et de personnel en 2024. PowerSchool, qui fabrique également des logiciels d’information scolaire, a payé les pirates pour restituer les données volées, mais plusieurs de ses clients ont ensuite été extorqués par un autre groupe criminel qui a montré les données de la violation qui n’avaient pas été détruites.
Le FBI a déclaré la semaine dernière dans un communiqué qu’il était « conscient » de la perturbation du système affectant les écoles et les établissements d’enseignement aux États-Unis. L’avis ne nomme pas Canvas, mais il mentionne que les victimes ne doivent « pas envoyer de paiement ni répondre » aux demandes des cybercriminels.
Les données volées à Instructure, dont certaines ont été vues par TechCrunch, incluent les noms des étudiants, leurs adresses e-mail personnelles et les messages échangés par les enseignants et les étudiants, y compris des informations privées et personnelles.
Sur son site Internet, Instructure a reconnu que des pirates informatiques avaient violé les systèmes de l’entreprise à deux reprises en moins d’un an, mais a déclaré que les deux violations étaient des « événements distincts » impliquant des systèmes différents.
Instructure a déclaré qu’elle enquêtait toujours sur la violation et validait ses conclusions.
On ne sait pas clairement qui chez Instructure supervise ou est responsable de la cybersécurité, si ce n’est le directeur général de l’entreprise, Steve Daly. Contacté par TechCrunch, Instructure n’a pas précisé si Daly envisageait de démissionner suite aux violations de données.
Êtes-vous un administrateur Canvas ou une école informé de la violation ? Avez-vous reçu une demande d’extorsion de la part des pirates ? Nous voulons avoir de vos nouvelles. Pour contacter ce journaliste en toute sécurité, contactez-nous via le nom d’utilisateur Signal zackwhittaker.1337.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
