Chaque jour, des millions d'étudiants et d'enseignants s'appuient sur Canvas, une plateforme de gestion de l'apprentissage exploitée par Instructure, pour soumettre des devoirs, consulter les notes, communiquer avec les enseignants et passer des examens. Mais en mai 2026, une attaque par rançongiciel a perturbé la plateforme et des pirates informatique ont dérobé les informations des étudiants.

La situation est en constante évolution, mais les étudiants, les parents et le personnel enseignant doivent comprendre ce qui s'est passé et prendre quelques mesures pratiques pour rester en sécurité en ligne.

Que s'est-il passé lors de la cyberattaque contre Canvas ? 

La maison mère de Canvas, Instructure, a confirmé que des pirates informatiques avaient obtenu un accès non autorisé aux systèmes connectés à la plateforme d'apprentissage en ligne. L'attaque a temporairement mis hors ligne certaines parties de Canvas, privant un grand nombre d'étudiants et d'enseignants d'accès à leurs cours pendant la période des examens finaux ! Bien que la plateforme soit redevenue opérationnelle, les cybercriminels ont pu télécharger des données relatives aux étudiants.  

Un groupe de pirates informatiques connu sous le nom de ShinyHunters a revendiqué la responsabilité de l'intrusion. Selon certaines informations, le groupe a menacé de divulguer des données concernant des milliers d'écoles et des millions d'utilisateurs si une rançon n'était pas payée. Les pirates ont infiltré Canvas en envoyant du code malveillant aux représentants du service d'assistance de la plateforme.  

Instructure a annoncé ultérieurement avoir conclu un accord avec les attaquants et avoir reçu ce qu'elle décrit comme une « confirmation numérique » que les données volées avaient été supprimées. Cependant, rien ne garantit que des informations volées soient détruites de manière permanente après avoir été dérobées - c'est pourquoi nous recommandons généralement de ne pas payer de rançon. 

Selon l'entreprise, les informations compromises pourraient inclure : 

• Noms 

• Adresses électroniques 

• Numéros d'identification des étudiants 

• Messages envoyés via Canvas (comme entre étudiants ou entre étudiants et enseignants) 

Instructure a déclaré n'avoir trouvé aucune preuve que des mots de passe, des dates de naissance, des identifiants gouvernementaux ou des informations financières aient été compromis. Toutefois, il est préférable de partir du principe que les pirates ont pu en obtenir plus que ce que l'on pense initialement. Changer son mot de passe et surveiller l'apparition de débits suspects est une excellente idée.   

Même avec les informations dont ils disposent, les criminels peuvent tout de même faire un mauvais usage de ces données personnelles de base dans le cadre de campagnes de hameçonnage, de tentatives d'usurpation d'identité et d'autres attaques d'ingénierie sociale. 

Ce que les étudiants, les parents et les enseignants doivent faire 

Il n'y a pas lieu de paniquer, mais c'est le moment idéal pour accroître votre vigilance.

Méfiez-vous des messages de hameçonnage 

Soyez prudent face aux e-mails, SMS ou appels inattendus faisant mention de la faille de sécurité de Canvas. Les escrocs peuvent essayer de créer un sentiment d'urgence en affirmant que votre compte nécessite une vérification ou que vos informations ont été compromises. La Federal Trade Commission a prévenu que les fraudeurs pourraient exploiter les actualités concernant cette faille de sécurité en envoyant de faux e-mails ou SMS semblant provenir des établissements scolaires ou de l'assistance de Canvas. 

Ne cliquez jamais sur les liens, ne téléchargez pas de pièces jointes à partir de messages suspects et n'y répondez pas. Ne cliquez même pas sur le bouton « se désabonner ». Si vous avez un doute sur la légitimité d'un message, contactez directement votre école ou Canvas en utilisant les coordonnées officielles.

Changez vos mots de passe 

Bien qu'Instructure ait affirmé que les mots de passe n'avaient pas été compromis, nous vous conseillons par mesure de prudence intelligente de modifier votre mot de passe Canvas. Il est également fortement conseillé de changer le mot de passe de votre compte universitaire. C'est d'autant plus vrai si vous réutilisez le même mot de passe sur plusieurs comptes - une mauvaise habitude dont il faut se débarrasser ! 

Créez des mots de passe forts et uniques pour vos comptes importants et utilisez un gestionnaire de mots de passe. Un mot de passe fort contient au moins 16 caractères, est réservé à un seul compte et consiste en une chaîne de caractères aléatoire et complexe.  

De nombreuses universités imposent l'authentification multifacteur, mais vous devriez l'activer pour chaque compte. Nous vous recommandons d'utiliser une application d'authentification multifacteur (MFA) tierce sécurisée, telle que Duo ou Google Authenticator.

Surveillez vos comptes 

Gardez un œil sur les comptes scolaires, les boîtes de réception et d'autres comptes en ligne pour repérer toute activité suspecte. Soyez attentif aux e-mails de réinitialisation de mot de passe, aux alertes de connexion ou aux messages inattendus. Les parents doivent expliquer aux étudiants le fonctionnement des escroqueries et les encourager à réfléchir à deux fois avant de répondre à des messages en ligne urgents. 

De manière générale, nous vous recommandons de geler votre crédit au cas où votre numéro de sécurité sociale ait été dérobé lors d'une faille de sécurité. Même s'il n'a pas été mentionné que les numéros de sécurité sociale ont été volés lors de la faille de Canvas, c'est une excellente habitude à prendre. Des noms et des dates de naissance ont été dérobés - ils peuvent être associés à un numéro de sécurité sociale provenant d'autres fuites pour tenter d'usurper une identité. Le gel de votre crédit est gratuit et vous pouvez le suspendre temporairement lorsque vous faites une demande de crédit.

Étudiez en ligne en toute sécurité 

Les cyberattaques visant les écoles et les plateformes éducatives sont désormais monnaie courante, mais la sensibilisation et les bonnes habitudes peuvent faire toute la différence. Faire preuve de scepticisme à l'égard de tout message entrant inattendu, conserver de bonnes habitudes en matière de mots de passe et activer les fonctionnalités de sécurité peut contribuer à réduire vos risques. Pour obtenir d'autres conseils, inscrivez-vous à notre bulletin d'information gratuit par e-mail.