Canvas tombe en panne pendant que ShinyHunters menace de divulguer des données scolaires

 (theverge.com)
1 points par GN⁺ 2 시간 전 | 1 commentaires | Partager sur WhatsApp
  • La plateforme de gestion de l’apprentissage Canvas d’Instructure est tombée en panne après la confirmation d’une violation de données de grande ampleur, et Canvas, Canvas Beta et Canvas Test ont basculé en mode maintenance
  • Les données potentiellement concernées incluent les noms des élèves, les adresses e-mail, les numéros d’identification et les messages
  • Les élèves se connectant à Canvas ont vu un message dans lequel le groupe de hackers ShinyHunters revendique l’attaque et menace de publier des données d’établissements scolaires
  • ShinyHunters a menacé de divulguer l’ensemble des données d’ici la fin de la journée du 12 mai 2026 en l’absence de négociations, et a demandé aux établissements concernés de les contacter en privé via TOX pour parvenir à un accord
  • Instructure a déployé la semaine dernière des correctifs pour renforcer la sécurité de ses systèmes après la violation, tandis que ShinyHunters affirme sur son site de fuite de données détenir des informations concernant 9 000 établissements scolaires et 275 millions d’élèves, d’enseignants et de membres du personnel

Situation de la panne

  • La page d’état d’Instructure indique que « Canvas, Canvas Beta et Canvas Test ont été placés en mode maintenance »
  • Instructure dit s’attendre à un rétablissement prochain et promet de fournir des mises à jour aussi vite que possible

Menaces de ShinyHunters

  • ShinyHunters affirme avoir de nouveau compromis Instructure et soutient qu’Instructure a appliqué un « correctif de sécurité » sans les contacter
  • Le message comprend un lien vers une liste d’établissements que ShinyHunters affirme avoir compromis via Canvas
  • Le groupe exige que les établissements figurant sur la liste, s’ils veulent empêcher la publication des données, consultent une société de conseil en cybersécurité puis le contactent en privé via TOX pour négocier un accord

Ampleur de l’impact et revendications passées

  • ShinyHunters a déjà revendiqué la responsabilité d’attaques visant Ticketmaster, AT&T, Rockstar Games, ADT et Vercel
  • Selon Bleeping Computer, ShinyHunters affirme sur son site de fuite de données détenir des informations sur 9 000 établissements scolaires, incluant les données de 275 millions d’élèves, d’enseignants et d’autres membres du personnel

À lire aussi

1 commentaires

 
GN⁺ 2 시간 전
Commentaires sur Hacker News

  • Vu du terrain, j’enseigne dans une université qui utilise Canvas et nous sommes en période d’examens finaux
    J’ai reçu le premier mail d’alerte du service de la scolarité aujourd’hui à 17:17 EDT, puis d’autres à 18:24 et 18:57, mais ils portaient surtout sur les procédures de compensation et de remplacement plutôt que sur ce qui se passait réellement
    À part « panne nationale » et « cyberattaque », il n’y avait aucun détail, et l’université ne semble pas en savoir davantage
    Ce qui est révélateur, c’est qu’on a demandé que les devoirs remis via Canvas soient envoyés directement par email aux professeurs, ce qui ne donne pas l’impression qu’ils soient sûrs d’un rétablissement rapide
    Personnellement, l’impact est limité. J’enseigne l’informatique, donc une bonne partie du travail des étudiants se fait sur l’infrastructure du département et les remises passent aussi par là, et les vrais examens se font sur papier
    Plus important encore, je n’ai jamais fait confiance au carnet de notes de Canvas, donc je n’y publie les notes que pour consultation par les étudiants, et je garde toujours le relevé original dans un tableur local
    Mais pour beaucoup de collègues, c’est une catastrophe du niveau de « le bâtiment a brûlé et toutes les copies d’examen ainsi que le registre des notes ont disparu »
    Même les enseignants qui ne font que du présentiel ont déplacé l’essentiel de leurs évaluations vers la fonction « quiz » de Canvas, y compris parfois l’examen final, et utilisaient le carnet de notes Canvas comme registre principal
    L’administration les y a aussi encouragés, en disant que cela faciliterait la remontée des notes. Ces enseignants ont peu, voire aucune production étudiante en dehors de cela, et les étudiants ont parfois rédigé directement dans Canvas, donc il n’y a rien à renvoyer par email ; même les notes ou la présence peuvent n’avoir été suivies que dans Canvas
    Si les notes d’alerte intermédiaires de mars ont été transmises, on pourra peut-être au moins y accéder, mais ce sera peut-être tout
    Mon intuition est que soit ce sera réglé en quelques heures, soit cela prendra des semaines. S’il existe des sauvegardes air gap et qu’il suffit de relancer de nouveaux serveurs, c’est le premier cas ; sinon, le second. J’ai l’impression qu’il n’y a pas vraiment d’entre-deux
    Si ce n’est pas rétabli d’ici demain matin, je ne sais vraiment pas comment notre université, et beaucoup d’enseignants dans tout le pays, pourront attribuer des notes justes et raisonnables
    Dans le pire des cas, il faudra peut-être faire comme pendant le semestre du COVID, et comme le semestre où, dans notre université, deux grands bâtiments universitaires ont réellement brûlé une semaine avant les examens finaux : convertir même les cours normalement notés en lettres en validé/non validé. Que faire d’autre ?
    Bien sûr, on aurait pu éviter de mettre tous ses œufs dans le même panier et de faire autant confiance au « cloud », mais le navire a déjà quitté le port. Je me demande si quelqu’un en tirera une leçon à long terme
    Mise à jour : à 23:45 EDT, l’instance Canvas de notre université fonctionne de nouveau. J’espère que ça tiendra, mais je vais quand même télécharger quelques éléments par précaution

    • Il est très simple d’envoyer par email à l’étudiant les enregistrements liés lorsqu’il termine un quiz, etc.
      S’ils ne le font pas, c’est parce qu’ils veulent garder le contrôle sur les données, et je ne comprends pas pourquoi les universités ne l’exigent pas
    • Je travaille dans l’IT du secteur éducatif, et nous n’en savons quasiment pas plus
      Tout ce que nous savons aujourd’hui vient des fils Reddit et Hacker News. Les communications officielles n’ont jamais parlé d’attaque, mais la page de connexion avait été altérée par ShinyHunters
    • Une approche hybride semble possible aussi. Créer à la hâte un examen final ou un projet, puis laisser aux étudiants le choix entre validé/non validé et une vraie note
      Et prier pour que revienne le jour où les SaaS disparaîtront et où l’on pourra déployer soi-même un logiciel qu’on contrôle et qu’on peut modifier selon ses besoins
    • On pourrait aussi organiser un seul examen et baser la note du cours uniquement sur celui-ci
      C’est comme cela que cela devrait fonctionner de toute façon : les notes de devoirs pendant le semestre, ou pire encore les points de présence, ne sont pas nécessaires pour évaluer si l’étudiant a appris la matière. On fait passer un examen, et c’est tout

  • Je suis surpris qu’il y ait si peu de commentaires sur ce fil. Cela touche probablement des millions d’étudiants au moment le plus stressant de l’année
    Je détestais déjà Canvas et probablement tous les autres fournisseurs de LMS, mais ce qui rend cette panne particulièrement ironique, c’est qu’elle arrive précisément au moment où les universités imposent à tous les enseignants, sans exception, de mettre tous leurs contenus sur Canvas pour des raisons de conformité ADA
    Par exemple, il est explicitement interdit de simplement renvoyer vers un PDF hébergé sur un site personnel
    Les autres ici ne semblent pas bien réaliser que beaucoup d’enseignants n’aiment pas non plus se voir imposer Canvas

    • Ils n’ont pas encore réussi à me l’imposer. Mais il est amer de voir combien de professeurs, même en informatique, sont incapables d’exploiter l’infrastructure en ligne minimale nécessaire pour soutenir leur enseignement. Bien sûr, les universités ne leur facilitent pas non plus la tâche
      Une autre inquiétude sérieuse que j’ai au sujet de Canvas, c’est qu’ils utilisent peut-être tous les contenus mis en ligne par les enseignants pour entraîner des substituts IA. Mes collègues en plaisantent beaucoup en humour noir, mais je n’ai pas vu beaucoup d’actions concrètes
    • Les étudiants d’aujourd’hui et les utilisateurs de HN ne semblent pas beaucoup se recouper. À ma connaissance, je suis une exception assez rare :)
      L’administration n’a envoyé jusqu’ici qu’un mail commençant par « Canvas nous informe que », puis une heure plus tard un autre disant que « Canvas est indisponible pour une durée indéterminée », pour montrer qu’elle avait pris la mesure de la gravité
      Pour ceux qui ne connaissent pas, Canvas ressemble davantage à un wiki de cours avec des fonctions comme les quiz
    • Le streaming en direct des cours via Canvas est très populaire. Pas mal d’étudiants se contentent de regarder depuis leur résidence universitaire
      Il se peut donc que les étudiants doivent revenir physiquement en salle, ce qui serait assez spectaculaire. Le premier jour de cours, les amphithéâtres sont presque pleins à craquer, parfois réellement pleins, puis cela décroît progressivement. On peut finir avec seulement 10 présents dans un cours de 100
      Si Canvas n’est pas rétabli rapidement, cela aussi pourrait provoquer un vrai chaos
    • Je ne vois pas en quoi Canvas serait plus accessible que du HTML et du PDF
      Certes, les lecteurs PDF ne sont pas idéaux pour les lecteurs d’écran, mais il suffit de publier aussi une copie en .html, non ?

  • Il devrait être illégal pour n’importe quelle entreprise de payer une rançon de ransomware. Aucune exception, il ne faut jamais payer
    Les sanctions contre les attaquants devraient être liées au système qu’ils ont compromis. Si l’attaque vise un hôpital et qu’une personne meurt, cela devrait relever de la perpétuité, voire de la peine de mort. La peine minimale doit être suffisamment dissuasive pour décourager l’attaque
    Bien sûr, cela ne suffira pas à lui seul, et les entreprises doivent aussi répondre de leur sous-investissement en sécurité. Chaque attaque devrait entraîner une enquête pour vérifier si l’entreprise respectait les standards sectoriels reconnus, les bonnes pratiques et les exigences de personnel ; si ce n’est pas le cas, il devrait y avoir des sanctions punitives

    • Ce qui devrait être illégal, c’est d’exploiter un service non sécurisé, surtout s’il traite des données personnelles
      Les violations continuent de se produire et personne ne s’en soucie, parce qu’au pire on perd quelques clients et on leur offre de la « surveillance de crédit »
      Après ce genre d’incident, il devrait y avoir des audits puis des poursuites. Il faut envoyer en prison les dirigeants responsables de manquements de sécurité par négligence. Si l’on peut aller en prison pour fraude comptable, on devrait pouvoir y aller aussi pour fraude aux engagements de cybersécurité
      Ils affirment respecter plusieurs standards de sécurité https://www.instructure.com/en-au/trust-center/compliance
      J’aimerais voir, lors d’un audit post-incident, ce qui a réellement été mis en œuvre
    • On devrait peut-être surtout se concentrer sur le fait de rendre plus difficile l’envoi d’argent à des criminels étrangers. /hum/ les plateformes crypto qui permettent les virements vers des acteurs malveillants /hum/
    • À quel moment les États commenceront-ils à traiter les cyberattaques comme des actes de guerre ?
      Si des soldats nord-coréens venaient aux États-Unis voler pour 200 millions de dollars d’or à Fort Knox, il y aurait des représailles. Mais si la même somme est dérobée en piratant des entreprises américaines, le gouvernement fédéral ne fait rien
    • Je doute qu’une « peine minimale douloureuse » soit vraiment de nature à dissuader des ressortissants étrangers ou des gouvernements étrangers
    • Si quelqu’un braque une banque et qu’une personne à l’intérieur meurt d’une crise cardiaque, c’est un meurtre dans le cadre d’un crime grave
      J’aimerais qu’on applique le même principe aux attaques par ransomware, au chantage et aux fuites de données. Si quelqu’un se suicide à cause de cela, alors c’est un meurtre

  • Mes enfants sont en pleine semaine d’examens finaux. C’est un chaos total
    Les universités ne savent rien, Canvas prétend être en « scheduled maintenance », et certains professeurs disent ne pas avoir de copie hors ligne de leurs supports, ce qui paraît assez négligent
    Dans un cours très suivi, une section semble devoir passer un examen papier, tandis que d’autres sections auraient déjà passé plus tôt dans la journée un examen Canvas avec des règles du type « deuxième tentative à moitié des points »
    Combien de temps avant que les noms et les notes apparaissent dans un dump de données ?
    C’est comme si TurboTax annonçait une « scheduled maintenance » le 14 avril aux États-Unis

    • « Scheduled Maintenance », c’est du pur bullshit, et franchement cela donne encore plus mauvaise image de Canvas
      D’après la page de statut, cela compte apparemment dans leur 99,996 % de disponibilité. À retenir

  • Un ami qui enseigne au MIT m’a dit être touché par cette affaire
    Je trouvais ironique et un peu triste qu’un établissement comme le MIT n’ait pas le personnel IT pour maintenir une solution on-premise pour ce type d’usage
    Mais en fait, le MIT avait son propre système, développé en interne, et a récemment migré vers Canvas. Ils doivent probablement le regretter maintenant
    J’ai l’impression que, ces dix dernières années, les arbitrages build vs buy ont beaucoup trop penché du côté du buy, et c’est dommage
    Bien sûr, une organisation doit se concentrer sur ses compétences clés, et il est parfois logique d’externaliser ce qui n’en fait pas partie. Mais il y a toujours des inconvénients

    • Les systèmes développés en interne coûtent cher à maintenir et, à ce stade, ils ne suivent généralement pas les options commerciales
      Un LMS, c’est simplement un logiciel extrêmement complexe. J’ai participé à la version maison de mon université quand j’étais en licence
    • J’ai commencé ma carrière tech dans le secteur éducatif, donc cela ne me surprend pas du tout
      Les profils IT ambitieux et compétents ne restent pas longtemps dans l’éducation. Les salaires y sont très bas par rapport au privé
      Là où je travaillais, les employés pouvaient obtenir une retraite confortable après un certain nombre d’années, donc l’équipe IT essayait de tout externaliser autant que possible afin de ne prendre absolument aucun risque pour sa retraite. L’idée était de rejeter la faute sur les consultants et d’en faire le moins possible
      Littéralement l’endroit où les rêves meurent
      Le MIT est célèbre pour ses professeurs et ses étudiants brillants, mais au bout du compte, faire tourner une université reste une activité assez standard. Il n’y a pas besoin d’un génie rockstar pour administrer les serveurs d’une plateforme de cours

  • Je suis étudiant à Stanford, et cette panne frappe durement toute l’université
    Contrairement à des établissements de la côte Est comme Brown, Harvard ou le MIT, nous sommes en trimestre, donc nous venons tout juste de terminer les partiels de mi-trimestre
    Heureusement, le département d’informatique est totalement indépendant de Canvas, mais la plupart de mes cours en sciences humaines ne le sont pas
    Un cours d’histoire de l’art demande de déposer le devoir de mi-trimestre dans un dossier Google Drive, et un autre a suspendu les quiz hebdomadaires
    Cette affaire montre à quel point étudiants et enseignants dépendent de Canvas. J’espère que cela relancera la discussion pour s’éloigner d’une plateforme déjà peu appréciée du point de vue étudiant

    • Le fait que ShinyHunters en soit arrivé à s’en prendre aux étudiants et aux jeunes cerveaux américains, c’est vraiment franchir une ligne
      S’attaquer aux entreprises, c’est une chose ; s’en prendre aux étudiants, c’en est une autre. Il faut laisser les étudiants tranquilles

  • La réponse de Canvas est désastreuse. Aucune communication, aucune mise à jour de statut
    Toute la plateforme semble compromise, et le fait qu’il n’y ait toujours pas un véritable rapport sur la violation de sécurité déjà survenue donne une très mauvaise impression
    La plupart des établissements américains sont en pleine période d’examens finaux ; je me demande en combien de temps des violations de SLA et des poursuites vont apparaître

    • J’ai beaucoup eu affaire à Canvas/Instructure. La technologie est correcte
      La culture, en revanche, donne l’impression d’une entreprise imbue d’elle-même grâce à sa position sur le marché

  • Autrefois, beaucoup d’universités exploitaient leurs propres systèmes étudiants, développés en interne ou on-premise
    C’est l’inconvénient de la centralisation cloud. Si l’infrastructure est compromise, cela affecte tout le monde, pas seulement une ou deux installations isolées
    Je me demande comment ils vivent cette décision aujourd’hui. En même temps, pouvoir dire « ce n’est pas notre faute » est peut-être plus confortable que si une faille touchait leur propre système

    • Si une vulnérabilité est découverte dans le logiciel, un attaquant peut tout aussi facilement cibler de manière automatisée des centaines d’instances séparées dans différentes institutions
      Selon la faille, cela peut même être plus facile si les administrateurs on-premise n’ont pas appliqué toutes les recommandations de sécurité
      Ce qui m’intéresse davantage ici, c’est de savoir si Instructure porte une responsabilité financière. La défaillance technique vient d’Instructure, mais la demande de rançon vise les universités, ce qui est intéressant
      Je connais les SLA de disponibilité, mais à quoi ressemble un SLA sur les violations de sécurité ?
    • Si les universités avaient dépensé du temps et de l’argent pour construire leur propre système puis s’étaient fait pirater, la responsabilité leur serait revenue
      Maintenant, elles peuvent quitter la table comme un croupier de blackjack, en frappant dans leurs mains et en montrant leurs paumes, sans responsabilité. C’est peut-être l’un des grands avantages à utiliser un produit plutôt que de le développer soi-même
    • Cette approche reste probablement plus sûre. Surtout avec le piratage assisté par IA, qui rend plus difficile de compter sur l’obscurité
      Le fait de pouvoir blâmer une autre partie et de tomber tous ensemble quand tout le monde tombe a aussi une certaine valeur

  • Quand j’étais lycéen, en 2016 ou 2017, j’ai trouvé un XSS très simple dans le formulaire de rendu de devoirs et je l’ai signalé à mon professeur de programmation
    Ensuite, Canvas a verrouillé mon compte et j’ai reçu ce qui était peut-être ma première et unique retenue après les cours. La belle époque

    • Dans le même esprit, le logiciel de filtrage de mon école bloquait YouTube et les intégrations, mais les autorisait si elles venaient de Canvas
      C’était malin de désactiver l’éditeur HTML pour les commentaires de discussion, mais ils avaient oublié que, comme c’est un éditeur de texte enrichi, on peut mettre du code dans data:text/html et, si on copie l’élément comme HTML formaté, l’intégration se colle telle quelle
      J’ai même fait tourner tout l’exemple XSS de DOMPurify, et j’ai trouvé un moyen de forcer le téléchargement de contenu personnalisé sur l’ordinateur de quelqu’un
    • Tu avais signalé la vulnérabilité au professeur après l’avoir réellement exploitée ?

  • Si quelqu’un connaît la situation en interne, je me demande si Parchment a aussi été potentiellement touché
    Instructure l’a racheté il y a quelques années, et ce service traite énormément de relevés de notes
    Édition : https://status.parchment.com/ indique : « Canvas, Canvas Beta et Canvas test sont actuellement indisponibles, mais nous surveillons simultanément tous les autres environnements produits, y compris Parchment. À ce stade, nous n’avons aucune raison de penser que les ressources Parchment ont été affectées »