Instructure (Canvas) : fuite de données éducatives
Fuite massive des données Canvas (Instructure) revendiquée par ShinyHunters en mai 2026, touchant des établissements aux Pays-Bas, en Suède et au Royaume-Uni.
- Organisation
- Instructure (Canvas LMS)
- Secteur
- Éducation
- Pays
- États-Unis (éditeur) ; Pays-Bas, Suède, Royaume-Uni (établissements touchés)
- Date des faits
- Intrusion initiale le 25 avril 2026 ; seconde intrusion le 7 mai 2026
- Ampleur
- jusqu'à 275 millions d'utilisateurs revendiqués (3,65 To), ~8 800 à 9 000 établissements
- Vecteur
- ransomware / extorsion (exploitation d'une vulnérabilité des systèmes de production, groupe ShinyHunters)
- Données exposées
- Noms, Adresses e-mail, Numéros d'identifiant étudiant, Messages privés entre utilisateurs (étudiants/enseignants)
Instructure, éditeur américain de la plateforme d’apprentissage Canvas (LMS), a annoncé le 1er mai 2026 enquêter sur un incident de cybersécurité. Selon l’entreprise, des acteurs non autorisés ont accédé à ses systèmes le 25 avril 2026, intrusion détectée le 29 avril. Le groupe cybercriminel ShinyHunters a revendiqué l’attaque, affirmant avoir exfiltré 3,65 To de données concernant environ 275 millions d’utilisateurs répartis dans près de 8 800 à 9 000 établissements à travers le monde. Les chiffres de volume et de nombre de personnes restent à ce stade des allégations de l’attaquant, le périmètre exact n’ayant pas été détaillé publiquement par Instructure.
Instructure a indiqué que les données concernées comprenaient des noms, des adresses e-mail, des numéros d’identifiant étudiant et des messages échangés entre utilisateurs (étudiants et enseignants). L’entreprise précise que les mots de passe, dates de naissance, pièces d’identité officielles et informations financières n’auraient pas été compromis. Une seconde intrusion est survenue le 7 mai 2026, la page de connexion de Canvas ayant été remplacée par un message d’extorsion, suivie d’une menace de divulgation. Instructure a déclaré le 11 mai être parvenue à un accord avec l’auteur de l’attaque et avoir obtenu une « confirmation numérique » de la destruction des données ; plusieurs sources de presse font état du versement d’une rançon dont le montant n’est pas connu.
La fuite touche des données de personnes en Europe. Aux Pays-Bas, 44 établissements d’enseignement seraient concernés (dont l’Universiteit van Amsterdam et la Vrije Universiteit Amsterdam), en coordination avec la coopérative néerlandaise SURF. En Suède, 31 universités auraient été affectées, dont la Försvarshögskolan (université de défense). Des établissements au Royaume-Uni figurent également parmi les victimes signalées. La Vrije Universiteit Amsterdam a confirmé, dans un communiqué officiel, que des données d’étudiants et de personnels (noms, e-mails, identifiants étudiants, messages) étaient concernées et avoir effectué un signalement provisoire à l’autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens).
À retenir avec prudence : l’incident est officiellement reconnu par Instructure, mais l’ampleur précise (275 millions d’utilisateurs, 3,65 To) provient des revendications de ShinyHunters et n’a pas été confirmée institution par institution. Aucune décision de la CNIL française n’a été identifiée à ce jour ; la présence éventuelle de données d’utilisateurs français reste plausible compte tenu de l’usage international de Canvas mais n’a pas été spécifiquement documentée dans les sources consultées.