Une cyber-violation dans l’entreprise à l’origine du système de gestion de l’apprentissage Canvas, largement utilisé dans les établissements d’enseignement supérieur, a provoqué des perturbations généralisées jeudi et a laissé les étudiants et les professeurs de dizaines de campus californiens exclus d’une plate-forme majeure utilisée pour accéder aux cours, aux lectures et aux devoirs pendant les finales.
La perturbation chez Instructure fait suite à une violation survenue la semaine dernière au cours de laquelle un groupe de pirates informatiques a déclaré avoir volé des centaines de millions de dossiers liés aux étudiants et au personnel de près de 9 000 écoles aux États-Unis, en Australie et en Europe. Le groupe ShinyHunters, précédemment signalé comme étant à l’origine des hacks de Ticketmaster et d’AT&T, est en train d’obtenir du crédit.
Jeudi, des étudiants californiens ont été obligés de se connecter à Canvas avec un message écrit en blanc sur fond noir :
“Si l’une des écoles figurant sur la liste concernée souhaite empêcher la publication de ses données, veuillez contacter un cabinet de conseil en ligne et contactez-nous au TOX pour négocier une résolution. Vous avez jusqu’à la fin de la journée du 12 mai 2026 avant que tout ne se passe.”
Un étudiant de l’UC Berkeley a envoyé une photo de l’attaque au Times. Dans l’après-midi, l’étudiant a déclaré que le processus de connexion avait été mis à jour pour renvoyer les utilisateurs vers une page indiquant que Canvas était « en cours de maintenance programmée ».
Sur son site Internet, Instructure a indiqué jeudi soir avoir mis Canvas “en mode maintenance”.
“Nous espérons l’obtenir le plus tôt possible et fournirons une mise à jour dès que possible”, a indiqué la société.
Mercredi, la société Canvas a déclaré qu’elle était “entièrement réglementée et que nous ne voyons aucune activité non autorisée” derrière les attaques. Le communiqué indique que la violation concernait « les noms, adresses e-mail et numéros d’identification d’étudiant, ainsi que les messages entre utilisateurs », mais pas les mots de passe, les anniversaires, les informations financières ou les « photos gouvernementales ».
Une porte-parole de l’Éducation n’a pas répondu à une demande d’informations complémentaires.
En Californie, les effets de la panne ont été ressentis dans les plus grands services publics de l’État tôt jeudi.
Des messages envoyés aux communautés des campus de l’Université de Californie, de la California State University, de l’Université de Stanford et du Los Angeles Community College District indiquaient que les étudiants, le personnel et les professeurs étaient touchés. L’USC a également déclaré qu’elle travaillait avec les étudiants concernés. Les pannes techniques ne se sont pas produites d’un seul coup. De nombreuses écoles ont demandé aux enseignants et aux étudiants d’éviter de se connecter à Canvas.
On ne sait pas si les districts scolaires publics de Californie, dont certains utilisent Canvas, ont été touchés. Les fermetures frapperont la Californie plus tard que les autres universités et écoles du reste du pays. Les districts scolaires publics de l’Utah et de la Caroline du Nord ont annoncé des pénuries plus tôt cette semaine. À l’échelle nationale, des campus comme Harvard, Duke et l’Université de Pennsylvanie ont signalé des infections similaires.
Jeudi soir, aucun des collèges californiens n’a déclaré avoir connaissance de données individuelles sur des étudiants, des professeurs ou du personnel qui auraient été compromises.
Les responsables de l’UC ont déclaré que Canvas “ne sera pas restitué tant que nous n’aurons pas estimé que le système est sécurisé”. Un communiqué publié en ligne jeudi soir appelle tous les campus à « suspendre ou réinitialiser temporairement l’accès à Canvas ».
À l’UCLA, le portail d’apprentissage du campus, Bruin Learn, n’était ouvert que le matin avant que les étudiants n’annoncent qu’ils fermeraient à midi.
Titilope Olotu, étudiante en deuxième année spécialisée en biologie et en santé des femmes et de la reproduction, a déclaré qu’elle avait utilisé Bruin Learn – la version scolaire de Canvas – pour participer et compléter un quiz avant son cours de 8h30. En début d’après-midi, il ne trouvait plus son matériel d’étude.
“Oh, c’est un gros problème, presque tout le monde que je connais en a parlé”, a déclaré Olotu. Il a déclaré qu’il avait travaillé sur la biologie marine vendredi et midi dans le cadre d’un cours de médecine du développement, et qu’il n’avait pas sauvegardé les messages hors ligne car c’était “une matinée sombre”.
Sherry Zhou, spécialiste des sciences politiques et des communications, a déclaré que le temps et la charge de travail sont serrés et que de nombreux professeurs utilisent Canvas pour partager des affiches et des diapositives.
“Je suis encore en classe en ce moment et j’ai un devoir à rendre ce soir que je pourrais rendre à la fin puisque nous n’avons pas accès au matériel de lecture/d’étude pour le moment”, a-t-il déclaré dans un communiqué de presse, faisant référence à un travail d’homme du numérique qui lui a coûté un quart de sa note finale. En fin d’après-midi, Zhou s’est dit soulagé que son professeur ait envoyé les extras et a promis de distribuer les documents par un autre canal si Canvas était toujours en panne vendredi.
Dans une annonce à l’échelle du campus jeudi soir, les responsables de l’UCLA ont déclaré qu’ils avaient « supprimé l’accès local à Bruin Learn par mesure de prudence » pendant qu’Instructure gère l’infection.
À l’UC Berkeley, un message à l’échelle du campus a exhorté les utilisateurs à ne pas se connecter à Canvas. S’ils étaient connectés, il leur était demandé de fermer les onglets “et de ne pas cliquer sur les liens”. L’e-mail, signé par le vice-recteur à l’enseignement de premier cycle Oliver M. O’Reilly et la directrice de l’information Tracy Shinn, indique que la cyberattaque “affecte les institutions et les utilisateurs du monde entier”.
“Les responsables du campus explorent d’autres moyens permettant aux étudiants et au personnel d’accéder aux informations dont ils ont besoin. Nous savons que cela aura un impact significatif sur l’enseignement et l’apprentissage sur l’ensemble du campus. Les étudiants devraient attendre les conseils de leurs enseignants concernant les dispositions temporaires pour publier leurs travaux et accéder au matériel de cours”, ont déclaré O’Reilly et Shinn.
Les responsables de la CSU ont écrit dans une mise à jour du système que Canvas avait été déployé sur 22 campus et au bureau de Long Beach. Le message indique que la situation est « fluide » et que les responsables travaillent avec Instructure pour déterminer l’étendue des dégâts.
L’annonce du campus de Stanford indiquait que le système était de nouveau en panne, ajoutant que “nous attendons actuellement le rétablissement du service”.
Dans un communiqué, l’USC a déclaré qu’elle “travaillait avec les étudiants et les professeurs sur les questions liées au problème Canvas. Nous continuerons à surveiller cette situation et à tenir nos étudiants et nos professeurs informés”.
Le Los Angeles Community College District a déclaré que ses neuf campus étaient touchés. Patrick Luce, directeur de l’information du district, a déclaré jeudi au personnel que les étudiants et les professeurs ont commencé à voir des écrans Canvas affirmant que des pirates informatiques ont volé des données LACCD et demandant à ceux qui se sont connectés de se déconnecter immédiatement.
“Rien n’indique pour le moment que les systèmes internes de LACCD aient été compromis”, a écrit Luce.
Les saisons travailleur Terry Castleman et Lee Rogers contribué à cette histoire.
