30 millions d’utilisateurs. C’est à peu près la base active de Canvas. Instructure le gère. Des milliers d’écoles américaines l’utilisent pour noter, enseigner et gérer le chaos. Puis des pirates l’ont fermé à la fin de la semaine dernière.
La cible était précise. Les comptes « gratuits pour les enseignants » d’Instructure ont été piratés. Ce sont les portails donnant un accès direct aux éducateurs. Le groupe ShinyHunters s’en est attribué le mérite. Ils revendiquent 275 millions de dossiers volés. Environ 9 000 établissements impliqués. La Semaine de la sécurité a rapporté les chiffres.
Mercredi matin, Instructure a annoncé un accord. Les pirates renverraient les données. Ou du moins, supprimez-le numériquement. La société a déclaré avoir reçu une confirmation. C’est également l’assurance que les clients ne seront pas victimes d’extorsion. Ils n’ont pas mentionné le paiement d’une rançon. Ils viennent de programmer un webinaire pour discuter du « leadership ».
Ce n’est pas un nouveau territoire. Instructure admet qu’il s’agit de la deuxième violation cette année. Courriels. Noms d’utilisateur. Noms des cours. Tous exposés. Juste au moment où les universités croulent sous les examens.
Canvas était de retour en ligne samedi. Six universités et des dizaines de districts scolaires ont néanmoins émis des alertes. CNN a noté que ShinyHunters avait fixé mardi une date limite pour les négociations. Cela semble familier.
Pourquoi les écoles ? Parce qu’ils sont « riches en cibles et pauvres en ressources ». Les experts utilisent souvent ces mots.
Nous nous sommes précipités vers l’edtech pendant la pandémie. Aucune formation. Pas de filets de sécurité. Nous nous demandons maintenant si nous pouvons faire confiance à ces fournisseurs. Si Canvas ne peut pas protéger sa propre maison, le district le peut-il ?
Trop souvent, ils servent de théâtre de conformité
EdSurge a qualifié la cybersécurité de tendance majeure pour 2025. C’était peut-être optimiste. Les attaques augmentent dans l’enseignement supérieur et la maternelle à la 12e année. L’IA les rend plus nets. 82 pour cent de K-Here est une organisation K-12 ont signalé un incident récemment. C’est selon le Center for Internet Security. Plus de 9 300 confirmations.
Voici comment nous sommes arrivés ici :
- 2018 : L’UE a adopté le RGPD. Des règles claires.
- 2022 : Illuminate Education a été touché. Les États-Unis ne parvenaient toujours pas à un consensus national. Juste des lois d’État dispersées.
- 2022 : LAUSD a refusé de payer une rançon. Un gang a vidé 500 Go sur le dark web. Des « pots de miel », appelaient les écoles les experts.
- 2025 : Début de l’administration Trump. Les coupes ont touché le soutien fédéral à la cybersécurité. Les districts disent qu’ils travaillent « dans le noir ».
- 2025 : EdSurge a signalé des districts luttant contre les menaces de l’IA. Les petites écoles sont des cibles faciles. La meilleure défense, ce sont en réalité les gens. Pas de pare-feu. Personnes.
Douglas Levin le dit sans détour sur les réseaux sociaux. Les audits actuels ne sont que de faibles boucliers. Théâtre de la conformité.
Le personnel a besoin de formation. Les enfants ont besoin de sensibilisation. Mais les budgets sont serrés. Les menaces deviennent plus intelligentes. Les données restent risquées.
Que se passe-t-il lorsque la prochaine alerte retentit à 3 heures du matin un mardi ?
