Les écoles sont encore grandes ouvertes.
Une nouvelle attaque contre Canvas le prouve. Instructure, la société qui alimente le système de gestion de l’apprentissage utilisé par trente millions d’étudiants, a été piratée à la fin de la semaine dernière. Pas les comptes payants. Les pirates ont ciblé le niveau « gratuit pour les enseignants ». Ce choix spécifique compte. Cela montre que les attaquants savent exactement où les défenses sont les plus minces.
Les ShinyHunters affirment avoir volé 275 millions de disques. Parmi 9 000 institutions dans le monde.
La réponse ? Typique. Instructure a annoncé un accord. Ils disent avoir racheté les données. Reçu une “confirmation numérique”, il a été supprimé. J’ai reçu la promesse qu’aucune école ne serait extorquée.
Silence sur ce qu’ils ont payé.
Juste un webinaire prévu mercredi.
C’est la deuxième infraction cette année. E-mails, noms d’utilisateur, noms de cours. Ce truc qui détruit les identités. Tout s’est passé pendant que les enfants passaient les finales. Le chaos est une bonne couverture pour le vol. Canvas était de retour en ligne samedi. Mais au moins une douzaine de districts scolaires répartis dans six États sont encore en train de nettoyer les dégâts. ShinyHunters avait même fixé une date limite pour que ces districts puissent négocier séparément.
Pourquoi l’éducation ? Parce que c’est facile.
Les experts qualifient ce secteur de « cible riche mais pauvre en ressources ». Nous disposons de téraoctets de données sensibles. Nous avons des budgets pour les collations à la cafétéria mais pas pour les ingénieurs en sécurité. Et comme la pandémie a forcé chaque enseignant à utiliser un ordinateur, nous avons laissé les portes ouvertes. Maintenant, nous sommes en colère. Mais la colère n’arrête pas les ransomwares.
C’est encore pire. L’IA rend les hackers plus intelligents. Nous ne nous sommes pas vraiment adaptés.
« 82 % des élèves de la maternelle à la 12e année ont signalé un incident en 2024. Plus de 9 300 cas confirmés. »
Les chiffres sont ennuyeux jusqu’à ce que vous pensiez au contenu de votre propre boîte de réception. Ou les dossiers de votre enfant.
Nous sommes déjà venus ici. Juste avec des noms différents.
- 2018 : L’UE a adopté le RGPD. L’Amérique haussa les épaules. Il nous manquait un consensus national sur la propriété des données sur les étudiants.
- 2022 : Illuminate Education a été touché. Puis Los Angeles Unifié. Les pirates ont déversé 500 gigaoctets de fichiers d’étudiants sur le dark web parce que LAUSD a refusé de payer. Ils appelaient les écoles des « pots de miel ». Ils avaient raison.
- 2025 : Le soutien fédéral a disparu. Les réductions ont frappé les équipes de défense coordonnées. Les districts ont commencé à fonctionner dans le noir. Aucune orientation. Aucune aide.
La journaliste Ellen Ullman s’est penchée sur la question. Ses conclusions pour EdSurge étaient sombres. Les écoles sont faibles sur les bases. Les petites écoles sont particulièrement tentantes. Pourquoi combattre une forteresse fortifiée quand on peut voler dans un garage ouvert ? La première ligne de défense n’est pas le logiciel. Ce sont des humains. Et les humains se fatiguent. Ils cliquent sur les mauvais liens.
Nous nous appuyons donc sur des audits.
Attestation. Listes de contrôle. Douglas Levin, qui dirige K12 Security Exchange, l’a qualifié de « théâtre de conformité ». Il n’avait pas tort. Les boucliers en papier n’arrêtent pas les balles. Ils vous donnent simplement une défense juridique lorsque tout va mal.
On demande aux écoles de « former le personnel ». “Rechercher une aide extérieure”. Facile à dire. Difficile à faire lorsque votre informaticien est également la personne qui répare l’imprimante dans la salle de sport.
La pression monte. Les attaques deviennent plus intelligentes. Nous attendons toujours que le vendeur nous sauve.
Ils ne le feront pas.
