Instructure, l’éditeur de Canvas, paie une rançon à des hackers

 (insidehighered.com)
1 points par GN⁺ 6 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Instructure a payé une rançon au groupe ShinyHunters, qui a compromis à deux reprises son système de gestion de l’apprentissage Canvas, et a conclu un accord de remédiation
  • L’entreprise affirme que, dans le cadre de cet accord, les hackers ont restitué les données compromises liées à environ 275 millions d’utilisateurs de plus de 8 800 institutions
  • Instructure explique avoir reçu des shred logs, c’est-à-dire une confirmation de destruction des données, ainsi qu’une garantie que ses clients ne feront pas l’objet d’une extorsion supplémentaire
  • ShinyHunters avait menacé de divulguer des noms, adresses e-mail, identifiants étudiants et messages privés, tandis que les perturbations de Canvas ont poussé des universités à reporter examens et échéances
  • Cliff Steinhauer, de la National Cybersecurity Alliance, estime que le paiement d’une rançon peut récompenser les attaquants et accroître les risques d’exposition à long terme

Paiement de la rançon par Instructure et rétablissement de Canvas

  • Instructure a versé une rançon à un groupe cybercriminel qui a piraté à deux reprises Canvas, son système de gestion de l’apprentissage, au cours de la semaine et demie écoulée
  • Selon une mise à jour publiée par Instructure lundi soir, cet accord a conduit les hackers à restituer les données compromises concernant environ 275 millions d’utilisateurs de plus de 8 800 institutions
  • Instructure indique avoir reçu des shred logs, une confirmation numérique de destruction des données, ainsi qu’une garantie que, du fait de cet incident, « les clients d’Instructure ne feront pas l’objet d’une extorsion, publiquement ou autrement »
  • L’accord couvre « tous les clients d’Instructure affectés », et il leur a été indiqué qu’ils n’avaient pas « besoin » de contacter ShinyHunters, le groupe d’extorsion qui a compromis Canvas à deux reprises et l’a temporairement désactivé
  • Instructure estime que, même s’il n’existe jamais de certitude totale face à des cybercriminels, il est important de prendre toutes les mesures possibles sous son contrôle afin d’apporter autant de réassurance que possible à ses clients
  • L’entreprise continue de travailler avec des prestataires spécialisés pour l’analyse forensique, le renforcement de l’environnement et l’examen de l’ensemble des données concernées, et prévoit de fournir des mises à jour au fur et à mesure de l’avancement

Exigences de ShinyHunters et interruption du service Canvas

  • Instructure n’a pas révélé le montant de l’accord, mais celui-ci est intervenu la veille de l’échéance de rançon du 12 mai fixée par ShinyHunters
  • ShinyHunters est également lié à de récentes violations de données à University of Pennsylvania, Princeton University et Harvard University
  • L’intrusion de ShinyHunters dans Canvas a provoqué une interruption majeure du service, et le groupe a averti Instructure qu’il devrait payer s’il voulait éviter la divulgation de données utilisateurs comprenant noms, adresses e-mail et numéros d’identification étudiants
  • Dans une lettre de rançon publiée sur Ransomware.live le 3 mai, ShinyHunters affirmait détenir « des milliards de messages privés entre étudiants et enseignants, ainsi qu’entre étudiants », des conversations personnelles et d’autres informations personnellement identifiables
  • Les hackers ont exigé qu’Instructure les contacte avant le 6 mai 2026, faute de quoi ils divulgueraient les données et provoqueraient « des problèmes numériques agaçants »
  • Instructure semblait ne pas avoir répondu à cette demande, mais a traité les problèmes de sécurité, et Canvas était de nouveau pleinement opérationnel au mardi 5 mai
  • Cependant, jeudi, les utilisateurs de Canvas se sont à nouveau retrouvés dans l’impossibilité d’accéder à leurs comptes, et beaucoup de ceux qui préparaient leurs examens de fin de semestre et leurs travaux finaux n’ont vu qu’un message des hackers
  • Ce message affirmait que « ShinyHunters avait de nouveau compromis Instructure » et soutenait qu’Instructure s’était contenté d’appliquer des correctifs de sécurité sans entrer en contact avec eux
  • Le message demandait aux établissements affectés, s’ils voulaient empêcher la publication des données, de consulter un cabinet de conseil en cybersécurité et de négocier un accord via un contact privé sur TOX ; il fixait une échéance au 12 mai pour les institutions comme pour Instructure
  • Dans une lettre de rançon publiée sur RansomLook, ShinyHunters affirmait qu’Instructure n’avait ni compris la situation ni engagé de négociations pour empêcher la divulgation des données, et que la somme demandée n’était pas aussi élevée qu’on pourrait le penser

Réaction des universités et évolution de la communication d’Instructure

  • Alors que les perturbations de Canvas se prolongeaient, plusieurs universités ont reporté des examens et les dates limites des projets finaux en attendant la résolution du problème
  • Steve Daly, CEO d’Instructure, a reconnu dans une mise à jour publiée sur le site de l’entreprise après la seconde compromission que la semaine précédente, l’entreprise avait voulu vérifier précisément les faits avant de s’exprimer publiquement, mais n’avait pas trouvé le bon équilibre
  • Daly a déclaré : « Nous nous sommes concentrés sur la vérification des faits et nous sommes restés silencieux alors que vous aviez besoin de mises à jour continues », ajoutant vouloir changer cela à l’avenir
  • Par la suite, Instructure semble également avoir commencé à communiquer avec les hackers, et a indiqué lundi après-midi sur son site web que « tous les environnements Canvas sont disponibles »

Les risques liés au paiement d’une rançon

  • Cliff Steinhauer, directeur Information Security and Engagement à la National Cybersecurity Alliance, estime que le paiement de la rançon a peut-être résolu le problème immédiat d’Instructure, mais qu’il va à l’encontre des principes généraux de réponse en cybersécurité
  • Selon Steinhauer, le paiement d’une rançon peut créer « une boucle de rétroaction dangereuse dans laquelle les attaquants sont en pratique récompensés pour une compromission réussie »
  • Même si une organisation pense ainsi « résoudre » sa crise immédiate, elle renforce les incitations économiques de la cyberextorsion et peut signaler aux acteurs malveillants qu’il est rentable de viser de grandes plateformes éducatives ou des services critiques
  • Il estime, comme les forces de l’ordre le rappellent de manière constante, que le paiement des rançons encourage d’autres attaques dans l’ensemble du secteur et risque de normaliser le paiement lui-même comme stratégie viable de réponse à incident
  • Steinhauer considère également que l’accord entre Instructure et ShinyHunters laisse subsister des problèmes de confiance et de certitude
  • Même lorsque des criminels affirment avoir supprimé des données volées ou fournissent une « preuve » de destruction, il n’existe aucun moyen de le vérifier de manière fiable ; par le passé, les données ont souvent été conservées, revendues ou réutilisées dans de futures extorsions
  • Du point de vue du risque, une organisation peut ainsi échanger une interruption de service à court terme contre un problème d’exposition à long terme, susceptible de réapparaître des mois ou des années plus tard, sans qu’elle dispose alors de levier supplémentaire pour l’empêcher

À lire aussi

1 commentaires

 
GN⁺ 6 시간 전
Avis sur Hacker News
  • Il y a quelques années, un responsable du ministère de la Justice a participé à une conférence où il est intervenu dans une table ronde sur le sujet de ces paiements de rançon
    Il les comparait à une rançon d’enlèvement. Quand des Américains sont pris en otage, chaque famille veut payer, mais cela finit par créer une industrie de l’enlèvement d’Américains. Le Congrès a interdit le paiement aux ravisseurs pour empêcher cela, et selon lui, les enlèvements d’Américains ont diminué à mesure qu’ils devenaient moins rentables, tandis que des Européens devenaient les nouvelles cibles
    Sa proposition consistait à commencer à avertir les consultants en cybersécurité et assureurs souvent impliqués dans ce genre de situation que les paiements vers des pays sous sanctions sont probablement déjà illégaux et peuvent faire l’objet d’enquêtes. Les premiers à se faire prendre en paieraient lourdement le prix, mais à terme le secteur changerait de cap et viserait moins les entreprises américaines
    • C’est la bonne direction. Mieux vaut forcer les entreprises à restaurer depuis leurs sauvegardes et supprimer l’incitation financière au crime, plutôt que de créer une nouvelle industrie criminelle du ransomware en payant des rançons
      Les dirigeants qui n’ont pas mis en place de sauvegardes régulières correctement devraient évidemment en répondre
    • Qui aurait pu penser que donner des millions de dollars en cryptomonnaie à des adolescents était une bonne idée
      Cet argent ne sert qu’à financer davantage d’exploitation de vulnérabilités et d’autres idioties, dans une course au moins-disant sans fin. Lapsus$, le groupe supérieur à ShinyHunters, avait même publié sur son site qu’il voulait acheter des accès internes à des réseaux d’entreprise. Les données ne les intéressaient pas, ils voulaient juste un point d’entrée
      C’est ce qui arrive quand on continue à verser des millions de dollars à des criminels via des cryptomonnaies difficiles à tracer
    • Je ne comprends pas pourquoi ce type de paiement de rançon ne constitue pas une violation des lois anti-blanchiment. Il ne semble pas crédible qu’une vérification ait été faite pour s’assurer que le destinataire n’est pas sous sanctions ou lié à une organisation sanctionnée
    • Aux États-Unis, est-ce vraiment illégal de payer des ravisseurs ? Je n’ai pas trouvé de source montrant qu’une telle loi a réellement été adoptée
  • Il y a beaucoup de bonnes remarques sur la théorie des jeux et les incitations économiques, mais il y a un point plus important, et d’autodéfense : payer une rançon attire les hackers dix fois plus
    Le paiement envoie trois signaux : vous êtes vulnérable à une attaque, vous ne savez pas vous en remettre, et vous avez du cash. Résultat, vous serez attaqué bien davantage. Vous pouvez demander comment je le sais, mais je ne vous le dirai pas
  • D’un côté, chaque rançon payée encourage des gens du même genre à lancer ou développer une activité de ransomware, donc ce n’est pas bon
    D’un autre côté, un groupe de ransomware qui veut continuer à faire affaire doit être “honnête” au sens où il ne doit pas publier ni supprimer les données contre sa promesse, afin de rester un opérateur de ransomware crédible, ce qui est d’une ironie assez savoureuse. Dans bien des cas, les victimes préfèrent que l’argent aille aux opérateurs de ransomware plutôt que de voir les données fuiter. Donc, pour la victime actuelle, payer peut être la meilleure option, tout en augmentant la probabilité de victimes futures
    La dynamique et l’économie du ransomware sont fascinantes
    • C’est toujours la théorie des jeux de la rançon, une forme typique de problème d’action collective et de dilemme du prisonnier
      Pour chaque entreprise prise isolément, payer a probablement plus d’intérêt, mais si personne ne payait, tout le monde s’en porterait mieux
      C’est pourquoi il existe des politiques officielles de non-paiement, comme aux États-Unis, ainsi que d’autres politiques similaires. Sans mécanisme contraignant pour empêcher les victimes individuelles de payer, l’incitation ira toujours dans le sens du paiement, et la rançon restera rentable
      https://en.wikipedia.org/wiki/Collective_action_problem
      https://en.wikipedia.org/wiki/Prisoner%27s_dilemma
    • Je ne sais pas si la réputation des attaquants a tant d’importance. Ils peuvent toujours changer de marque sous un nouveau nom. Ce sont de toute façon des cybercriminels anonymes, et ils ont bien d’autres raisons de le faire que de simplement blanchir leur réputation
      Que les mêmes personnes utilisent un “nouveau” nom ou l’ancien, du point de vue de la victime qui a son système pris en otage, le calcul ne semble pas changer beaucoup
    • Le paiement d’une rançon devrait toujours être illégal, et tout employé qui l’autorise devrait faire l’objet de poursuites pénales fédérales. Même si cela mène à la faillite de l’entreprise ou à des morts, je considère cela comme un sacrifice acceptable
    • Si l’on part du principe que le ransomware continuera d’exister et que toutes les données pourront à tout moment être prises en otage, alors le monde finira par être conçu en conséquence
      On aura peut-être au final une “guilde du ransomware” façon Discworld qui prélèvera une “prime d’assurance” et s’occupera de ceux qui prennent des données en otage sans autorisation, ou alors des systèmes fondés sur le chiffrement de bout en bout qui rendront les données sans valeur
    • Je pense parfois à l’idée du “terroriste bienveillant”[0], c’est-à-dire quelqu’un qui inflige de grands torts à certains pour mener à un monde meilleur. Le Kwisatz Haderach de Dune en est un exemple type, donc ce n’est pas totalement original, mais je trouvais amusante l’idée de lancer une entreprise de ransomware qui, une fois la rançon reçue, ne tiendrait jamais sa promesse
      Cela ruinerait beaucoup de gens, mais à force de bien les imiter et de ne jamais restaurer après paiement, on finirait peut-être par rendre le ransomware non viable comme modèle économique. Qu’est-ce qui pourrait mal tourner ? ;)
      0: https://wiki.roshangeorge.dev/w/Benevolent_Terrorist#Poisoni...
  • Au fond, cela ressemble surtout à un très gros exercice d’enrobage d’image autour de l’idée : “nous avons payé la rançon mais ne vous inquiétez pas, les méchants nous ont garanti que tout allait bien”
    • Ils disent avoir “reçu une confirmation numérique de destruction des données (shred logs)”, mais est-ce que c’est censé faire croire aux utilisateurs que les hackers n’ont conservé aucune copie ?
    • Je pensais que payer des hackers était illégal, mais j’imagine que soit c’est légal, soit ce n’est pas clair. Je croyais au moins qu’il y avait une obligation de vérifier avec les forces de l’ordre que la rançon n’allait pas à un groupe de hackers figurant sur une liste gouvernementale de sanctions
      Je me demande aussi quelle a été la cause profonde de l’attaque. J’ai vu en ligne des rumeurs selon lesquelles cela pourrait être lié à une vulnérabilité de site Salesforce Experience Cloud, un schéma que ShinyHunters utilise souvent, mais rien n’a été confirmé. La seule chose clairement confirmée, c’est que la vulnérabilité était liée à la fonctionnalité “Free-For-Teacher accounts” de Canvas
    • Si les méchants republient les informations après avoir été payés, cela réduit non seulement leur propre capacité à se faire payer à l’avenir, mais aussi celle des autres méchants
      Donc même les autres criminels ont intérêt à empêcher ceux qui divulguent les données après paiement

  • We received digital confirmation of data destruction (shred logs).
    C’est une formulation d’une naïveté stupéfiante

    • Les hackers ont intérêt à détruire les données comme promis. Si l’idée se répand qu’on peut payer une rançon et voir les données fuiter quand même, plus personne ne paiera à l’avenir
      Bien sûr, cela n’empêche pas les hackers de vendre discrètement les données puis de dire : “ce n’est pas nous, c’est quelqu’un d’autre qui les a obtenues lors d’un autre piratage”
    • Ce n’est pas naïf, c’est plutôt miser sur la naïveté des clients
    • Comment garantir qu’ils n’ont pas copié les données puis détruit une seule copie, ou même simplement falsifié les journaux de destruction ?
    • J’espère que ce n’est qu’un élément de langage pour sauver les apparences. Mais j’aimerais quand même que les entreprises cessent de faire ce genre de déclaration
  • Un bon projet public d’informatique consisterait probablement à tenir une liste publique des organisations qui ont cédé à une demande de rançon, afin que nous puissions choisir d’aller ailleurs
    Cela demanderait tout de même du courage face au risque de poursuites en diffamation. Je doute qu’une simple clause de non-responsabilité suffise vraiment à réduire ce risque
    • Donc vous transféreriez votre activité vers une entreprise qui s’est fait pirater mais n’a pas payé, et dont les données clients ont fuité ?

  • The data was returned to us.
    Si je comprends bien, les données ont été copiées[1]. À moins que l’original n’ait été chiffré ou supprimé, je ne dirais pas que les données ont été “rendues”. La formule est confuse, mais c’est peut-être une expression courante du secteur
    C’est une bonne nouvelle pour Monero[2]. La hausse de janvier était peut-être aussi liée à des piratages[3]
    Canvas est apparu sur le site de ShinyHunters[4], puis a disparu[5]
    [1] https://www.youtube.com/watch?v=IeTybKL1pM4
    [2] https://search.brave.com/search?q=monero+price&rh_type=cc&ra...
    [3] https://xcancel.com/zachxbt/status/2012212936735912351
    [4] https://archive.ph/4zD7f
    [5] https://archive.ph/NYWbJ

    • Les hackers ont sans doute intérêt à ne pas divulguer les données s’ils veulent toucher la prochaine rançon
    • C’est un bon moment pour rappeler que, lors d’une fuite de données, les données sont rarement réellement “volées”. La vraie menace et le vrai préjudice apparaissent lorsque les données obtenues sont utilisées contre vous
    • La ligne suivante juste après la citation est celle-ci :

      We received digital confirmation of data destruction (shred logs).
      S’ils ne les ont pas supprimées, ce ne serait pas surprenant, mais c’est probablement pour cela qu’ils parlent de “retour”. Selon leur logique, les données ont été “rendues” puis supprimées

  • À long terme, je me demande s’il ne vaudrait pas mieux qu’une entreprise comme celle-ci, après avoir été piratée et payé une rançon assimilable à un pot-de-vin, finisse d’une manière ou d’une autre par sombrer
    Le coût d’un piratage me semble bien trop faible. Surtout pour les cadres supérieurs et dirigeants, cela reste traité comme une chose abstraite ayant seulement un coût concret en temps et en ressources
    • Je n’ai jamais vu une entreprise admettre qu’une fuite de données avait été le point de départ de sa faillite
      Après une fuite, les clients ne partent pas en masse. Et 7 000 établissements scolaires sous-financés et débordés ne vont pas tous migrer d’un coup
      On peut donc supposer sans grand risque qu’une fuite de données n’aura pas d’effet durable sur l’entreprise. Dans quelques mois, tout le monde aura oublié
  • Vu que cela a disparu de la page de ShinyHunters et que la restauration a été très rapide, je m’en doutais. Ce qui m’intéresse le plus, c’est combien ils ont payé
    Je n’aime pas non plus leur manière de dire que les données sont en sécurité ou ont été détruites. Dans ce genre d’affaire, ce type de promesse paraît franchement douteux
  • Comment comptabilise-t-on ce genre de chose ? Quel intitulé met-on dans les comptes ? Une entreprise peut-elle envoyer une grosse somme vers un compte crypto inconnu sans la moindre explication à l’administration fiscale ?
    • J’imagine que c’est l’assureur qui paie la rançon et qu’il rattache cela à une police d’assurance en cours. Je n’en sais rien pour l’impact fiscal, et je ne suis ni de la finance ni de la comptabilité
    • Peut-être qu’ils appellent ça “restauration de données” ?