J’ai passé plus de vingt-cinq ans dans le domaine de la cybersécurité à conseiller des organisations sur la manière de se préparer et de répondre aux menaces, notamment les attaques de ransomware. Je connais les stratégies. Je connais les acteurs malveillants. Je sais comment ces incidents se déroulent. Tout cela n'avait plus aucune importance dès l'instant où j'ai appris que les informations personnelles de mon enfant faisaient partie de la cyberattaque d'avril 2026 visant la plateforme d'apprentissage Canvas. 

En quelques minutes à peine, une fois la nouvelle intégrée, l'analyse, les cadres juridiques et les réflexes acquis en matière de réponse aux incidents ont tous cédé la place à la peur d'un parent. Il ne s'agissait plus de réseaux ni de négociations. Il s'agissait d'un enfant qui n'avait jamais consenti à être pris en compte dans le calcul de risque. Ce fut la prise de conscience brutale que même une vie entière consacrée à la cybersécurité ne vous protège pas, ni même ces petits êtres humains pour lesquels vous donneriez votre vie, des conséquences les plus personnelles de ces attaques. J'avais à ce moment-là hâte d'utiliser mes compétences particulières.

D’ailleurs, la communauté de la cybersécurité sait pertinemment que les problèmes ne s'arrêtent pas à l'intrusion initiale. Les conséquences peuvent et vont suivre ces enfants toute leur vie. 

Comment s’est déroulée la compromission ?

Selon des rapports publics, des attaquants associés au groupe cybercriminel ShinyHunters, que les chercheurs de la CTU (Counter Threat Unit™) de Sophos surveillent sous le nom de GOLD CRYSTAL, auraient exfiltré 3,65 To de données de Canvas, affectant des milliers d'organisations. Instructure, la société mère de Canvas, a déclaré le 11 mai avoir conclu un accord visant à empêcher la publication des informations volées et avoir reçu la preuve de la destruction des données par l'acteur malveillant.

Cependant, l'histoire nous a montré que l'on ne peut pas faire confiance aux acteurs malveillants. Bien que ces récents développements puissent réduire la probabilité d'une exposition publique immédiate, les établissements d'enseignement (notamment les administrateurs, le personnel IT/Sécurité, et les autres membres du personnel), les élèves et les parents doivent rester vigilants face aux risques en aval plus larges qui découlent souvent d'incidents de ce type, en particulier le phishing, l'usurpation d'identité et d’autres attaques par ingénierie sociale.

Pourquoi le secteur de l'éducation reste une cible prioritaire ?

Les établissements d'enseignement sont devenus des cibles de plus en plus attrayantes pour les attaquants motivés par les gains financiers. Les écoles et les universités gèrent un grand nombre d'utilisateurs, dépendent fortement de plateformes Cloud tierces et maintiennent des canaux de communication de confiance entre les administrateurs, les enseignants, les étudiants et les parents. Les sommes d'argent qui transitent par ces systèmes, pour les sorties scolaires, les dons, les frais de scolarité, les droits d'inscription, etc., rivalisent avec celles des petites banques de province. Même lorsque les informations volées semblent se limiter aux noms d'utilisateur, aux adresses email ou aux dossiers d'inscription, ces dernières peuvent tout de même être très précieuses pour les cybercriminels. Ces derniers n'ont pas toujours besoin de mots de passe ou de données financières pour lancer des campagnes efficaces. Le contexte à lui seul peut suffire.

Un acteur malveillant qui connait l’endroit exact où étudie un élève, quels systèmes sont utilisés pour la communication et qui reçoit des emails institutionnels peut concevoir des messages de phishing convaincants destinés à voler des identifiants, à contourner l'authentification multifacteur (MFA) ou à tromper les victimes pour qu'elles fournissent des informations sensibles. Ce risque devient encore plus important lorsque les acteurs malveillants ont des antécédents avérés d'activités en matière d'ingénierie sociale.

Le rôle croissant de l'usurpation d'identité et du vishing

Mon fils a été sensibilisé à la cybersécurité dès son plus jeune âge. Il connaît bien le concept suivant : « la question n’est pas SI mais QUAND », et il me demande toujours la permission avant de cliquer sur des liens et me montre fièrement quand il repère un email de phishing. Il donne même des conseils à ses amis sur la façon de réagir lorsqu'ils reçoivent des emails étranges. Il était visiblement inquiet lorsque je lui ai communiqué les données qui vont suivre. 

Plus tôt cette année, les chercheurs de Sophos ont observé une campagne sophistiquée de phishing vocal attribuée à GOLD CRYSTAL, dans laquelle les attaquants se faisaient passer pour du personnel IT interne ou des personnes du service helpdesk. Les victimes étaient dirigées vers des pages d'authentification unique frauduleuses conçues pour collecter les identifiants et les jetons d'authentification. 

Les attaquants savent comment manipuler ce sentiment d'angoisse que vous ressentez chaque fois que vous recevez un appel de l'école, ce moment juste avant que votre interlocuteur ne vous dise : « Tout va bien pour votre enfant, nous voulions simplement vous dire que… ». Ces attaques sont particulièrement efficaces car elles exploitent la confiance plutôt que de simples vulnérabilités techniques. Dans le milieu de l’éducation, ces relations de confiance s'étendent au-delà des professeurs et du personnel. Les parents reçoivent régulièrement des notifications urgentes des écoles concernant les horaires, les paiements, les formulaires, le transport, l'accès aux comptes et les communications avec les élèves. Les acteurs malveillants l’ont très bien compris et adaptent de plus en plus leurs attaques pour imiter les activités scolaires légitimes. 

Suite à des incidents comme la faille de sécurité signalée dans Canvas, les écoles et les universités doivent s'attendre à la possibilité de recourir à diverses tactiques :

• Notifications de réinitialisation de mot de passe frauduleuses.
• Fausses demandes de frais de scolarité ou de paiement.
• Emails usurpés de l'administration scolaire.
• Messages MFA malveillants.
• Faux appels ou messages de support IT.
• Pages de collecte d'identifiants conçues pour imiter les portails de connexion scolaires.

Bien qu'il n'existe à ce jour aucune preuve que les données volées lors de l'incident Canvas aient été divulguées, des fuites de données ont suivi d'autres attaques contre des établissements d'enseignement. Dans ce genre de cas, les écoles et les universités devraient anticiper la possibilité que ces informations soient utilisées à des fins malveillantes. Encore une fois, la question n’est pas « SI » mais « QUAND ».

Pourquoi les parents devraient être très vigilants ?

Traditionnellement, les parents n’étaient pas considérés comme faisant partie de la surface d’attaque des établissements scolaires d’un point de vue cybersécurité ; or, aujourd’hui, les familles interagissent presque exclusivement avec les écoles via des plateformes numériques. Les systèmes de gestion de l'apprentissage, les portails parents, les notifications mobiles et les outils de communication basés dans le Cloud sont devenus essentiels au fonctionnement de l'éducation moderne. Par conséquent, les parents peuvent recevoir un grand nombre d’emails et d'alertes légitimes, créant ainsi des conditions idéales pour que les tentatives de phishing se fondent parfaitement dans le système.

Les attaquants misent souvent sur l'urgence et la familiarité. Un message semblant provenir d'un administrateur scolaire ou du service IT, demandant une réinitialisation de mot de passe ou une vérification urgente de compte, peut être très convaincant, surtout pendant les périodes de vigilance accrue qui suivent un incident médiatisé. Pour limiter la portée et l'impact d'une attaque, il est nécessaire que la population vulnérable suive des instructions ; ces dernières doivent donc être simples. Mon district scolaire envoyait chaque jour un message rappelant à tous de rester déconnectés de Canvas.  

Les parents, les élèves et le personnel doivent se méfier des demandes non sollicitées d'identifiants ou de données de paiement, des invites inattendues d'authentification multifacteur ou des liens les dirigeant vers des pages de connexion. Dans la mesure du possible, les utilisateurs devraient se rendre directement sur les portails scolaires de confiance plutôt que de cliquer sur les liens intégrés dans les emails ou les SMS. Si disponible, utilisez le mécanisme d'authentification par clé d'accès (passkey), plus moderne et plus sécurisé.

Que devraient faire les écoles et les universités maintenant ?

Les établissements d'enseignement devraient privilégier la préparation aux attaques ultérieures plutôt que de considérer le risque comme terminé une fois la faille de sécurité maîtrisée. Même lorsque les acteurs malveillants affirment que les données volées ont été supprimées, les organisations doivent partir du principe que les informations exposées peuvent encore circuler au sein des écosystèmes cybercriminels ou être utilisées dans de futures campagnes de phishing.

Les institutions devraient envisager les étapes suivantes :

• Renforcez les contrôles d'authentification : dans la mesure du possible, les organisations devraient déployer des méthodes d'authentification résistantes au phishing, telles que des clés d'accès basées sur FIDO ou des clés de sécurité matérielles. Les méthodes MFA traditionnelles qui reposent sur les SMS ou les notifications push sont vulnérables aux techniques d'ingénierie sociale.
• Examinez les processus helpdesk et support : les attaquants ciblent de plus en plus les canaux de support car ils impliquent souvent une interaction humaine de confiance. Les établissements scolaires devraient revoir leurs procédures de vérification d'identité pour la réinitialisation des mots de passe, les demandes de récupération de compte et les fonctions de support administratif.
• Sensibilisez davantage au phishing/vishing : avertissez les professeurs, le personnel, les élèves et les parents que les attaquants peuvent se faire passer pour du personnel IT interne ou des personnes de l'administration scolaire. La formation devrait inclure une sensibilisation au phishing vocal, aux faux portails de connexion et aux attaques par fatigue face à l'authentification multifacteur.
• Surveillez les activités suspectes liées à l'identité : les équipes de sécurité doivent surveiller de près les systèmes d'authentification afin de détecter tout comportement inhabituel en matière de connexion, tout voyage ou déplacement impossible, toute demande d'authentification multifacteur anormale ou toute tentative de connexion infructueuse répétée liée à des comptes institutionnels.
• Communiquez de manière proactive : une communication transparente peut réduire considérablement l'efficacité des attaques de phishing ultérieures. Les établissements devraient envisager d'informer leurs communautés concernant les thèmes récurrents/probables en matière d'arnaque et de rappeler aux utilisateurs comment les communications scolaires légitimes sont gérées.

Une leçon plus générale pour le secteur de l'éducation

L’incident Canvas met en lumière une réalité plus large à laquelle est confrontée l’éducation aujourd’hui : les cyberattaques ne sont plus des événements techniques isolés. Les attaques modernes combinent fréquemment vol de données, extorsion, usurpation d'identité et ingénierie sociale dans le cadre de campagnes de longue durée qui se poursuivent bien après que l'intrusion initiale a été maîtrisée.

Pour les écoles et les universités, la résilience dépend de plus en plus non seulement de la prévention des violations, mais aussi de la préparation des communautés à reconnaître et à répondre aux tactiques de manipulation qui en découlent. C'est personnel, quoi qu'il arrive. 

Pour les parents, les élèves et les enseignants, la formation continue et la vigilance restent des premières lignes de défense éprouvées et efficaces.

Billet inspiré de Canvas attack aftermath: What risks come next?, sur le Blog Sophos.