Skip to content
Fuite de donnéesRançon payée

Fuite ShinyHunters chez Instructure Canvas LMS (2026)

ShinyHunters a exploité le programme de comptes Free-For-Teacher de Canvas pour exfiltrer 3,65 To de données couvrant environ 275 millions d'utilisateurs dans près de 9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés entre étudiants et enseignants. Instructure aurait payé la rançon et les données auraient été détruites.

Victime
Instructure (Canvas LMS)
Perte
$10.0M
données
275.0M
utilisateurs
275.0M

Début mai 2026, Instructure — l'entreprise derrière Canvas, le système de gestion de l'apprentissage utilisé par environ 41 % des établissements d'enseignement supérieur américains et des milliers d'écoles K-12 — a révélé une importante fuite orchestrée par ShinyHunters. Elle est désormais considérée comme le plus grand incident de sécurité du secteur éducatif jamais enregistré en nombre d'utilisateurs touchés.

Ce qui s'est passé

Les attaquants ont pénétré dans Canvas via le programme de comptes Free-For-Teacher — un niveau d'inscription à faible friction destiné à permettre aux enseignants individuels d'essayer la plateforme — et depuis ce point d'ancrage, ils ont atteint les données clients de l'instance Canvas plus large. La fenêtre d'exposition s'est étendue du 30 avril au 7 mai 2026 ; Instructure a détecté l'activité non autorisée le 1er mai.

ShinyHunters a revendiqué publiquement l'attaque le 3 mai 2026 et lancé une campagne d'extorsion de type « payer ou divulguer » avec une échéance fixée au 7 mai (ensuite repoussée au 12 mai). Le jeu de données revendiqué était de 3,65 To couvrant environ 275 millions d'utilisateurs dans ~9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés échangés entre étudiants et enseignants.

Le 11 mai 2026, Instructure a publié des excuses publiques pour son manque de transparence et confirmé qu'un accord avait été conclu avec l'acteur ; l'entreprise a déclaré que les données compromises avaient été détruites. Inside Higher Ed et d'autres médias ont rapporté, citant des sources non confirmées, que le montant du règlement s'élevait à environ 10 millions de dollars.

Il s'agit de la deuxième compromission d'Instructure par ShinyHunters en huit mois — un précédent incident avait touché la même plateforme en 2025.

Impact

  • ~275 millions d'utilisateurs dans environ 9 000 établissements scolaires dans le monde affectés — la plus grande fuite du secteur éducatif jamais enregistrée par nombre d'utilisateurs.
  • 3,65 To prétendument exfiltrés.
  • Noms, adresses e-mail, identifiants d'étudiants et certains messages privés étudiant–enseignant exposés.
  • Paiement de rançon rapporté à ~10 millions de dollars.
  • Conséquences réglementaires et réputationnelles aiguës pour Canvas dans l'enseignement supérieur américain, où il est le LMS dominant.

Pourquoi c'est important

Un niveau de compte d'essai gratuit est, par conception, la surface à plus faible friction d'une plateforme SaaS. C'est précisément ce qui en fait un vecteur d'accès initial à haute valeur s'il partage la moindre plomberie avec l'instance des clients payants. ShinyHunters a démontré, à deux reprises, qu'un point d'entrée conçu pour l'acquisition peut aussi être conçu pour l'exfiltration.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
10.0M
USD · 10 000 000 $US
Rançon demandée
$10.0M
Rançon payée
$10.0M
  • Rançon payée$10.0M

Chronologie

  1. Une activité non autorisée débute contre la plateforme Canvas d'Instructure ; ShinyHunters exploite le programme de comptes Free-For-Teacher pour accéder aux données clients.

  2. Instructure détecte l'activité non autorisée.

  3. ShinyHunters revendique publiquement l'attaque et lance une campagne d'extorsion avec une échéance fixée au 7 mai.

  4. Inside Higher Ed rapporte la menace d'extorsion « payer ou divulguer » visant Instructure.

  5. Dernier jour de la fenêtre d'exposition de la fuite.

  6. ShinyHunters revendique le vol de 3,65 To couvrant environ 275 millions d'utilisateurs et 9 000 établissements scolaires.

  7. Instructure présente publiquement ses excuses pour son manque de transparence et confirme qu'un accord a été conclu avec l'acteur ; selon des informations non confirmées, environ 10 millions de dollars auraient été versés et les données détruites.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/2026_Canvas_security_incident
  2. insidehighered.comhttps://www.insidehighered.com/news/tech-innovation/administrative-tech/2026/05/11/instructure-pays-ransom-canvas-hackers
  3. insidehighered.comhttps://www.insidehighered.com/news/tech-innovation/administrative-tech/2026/05/05/pay-or-leak-hackers-target-big-higher-ed-vendor
  4. hackread.comhttps://hackread.com/shinyhunters-instructure-canvas-lms-vimeo-data-breach/
  5. bitdefender.comhttps://www.bitdefender.com/en-us/blog/businessinsights/technical-advisory-shinyhunters-breach-instructure-canvas-lms

Incidents liés

Fuite de donnéesEn cours

Eastman Kodak confirme une fuite de données revendiquée par ShinyHunters

L'entreprise d'imagerie et de matériaux Eastman Kodak a confirmé qu'un tiers non autorisé avait temporairement accédé à une quantité limitée de données de l'entreprise, après que le groupe d'extorsion ShinyHunters a inscrit Kodak sur son site de fuite du dark web en prétendant détenir plus de 2,2 millions d'enregistrements de données clients et internes.

Victim
Eastman Kodak
Records
2.2M