Un ultimatum attribué à Shinyhunters vise Instructure, éditeur de Canvas, avec une liste mondiale d’établissements scolaires menacés de fuite publique.L’affaire place Instructure et son LMS Canvas au centre d’une pression d’extorsion numérique visant le secteur éducatif. ZATAZ a pu constater que le pirate affirme détenir une liste d’écoles touchées par une violation de données et fixe deux échéances, les 6 et 7 mai 2026, pour éviter une publication. Zataz a constaté de nombreux noms d’établissements dans le fichier revendiqué. La liste couvre des universités, districts scolaires, organismes de formation et plateformes annexes, répartis sur plusieurs continents. À ce stade, les noms cités doivent être traités comme des entités mentionnées dans une revendication criminelle, non comme des victimes confirmées techniquement… pour le moment !
Une menace d’extorsion visant l’éducation
Le message attribué à Shinyhunters met en scène une pression classique : rendre visible une partie du périmètre supposé touché, isoler les organisations concernées, puis pousser chacune à négocier séparément. Le pirate affirme que les écoles figurant dans le fichier pourraient empêcher la divulgation de leurs informations en consultant une société de conseil cyber et en prenant contact de manière privée. L’ultimatum mentionne une publication complète après la fin de journée du 7 mai 2026, avec la promesse qu’aucune discussion ne serait ensuite possible.
Le texte vise aussi directement Instructure. Selon cette revendication, l’entreprise n’aurait pas engagé de dialogue pour comprendre la situation ni négocier afin d’empêcher la diffusion des données. L’auteur prétend que la demande financière ne serait pas aussi élevée qu’attendu. Il accuse ensuite la société de ne pas se préoccuper des étudiants touchés ni des institutions concernées. Une seconde date apparaît : le 6 mai 2026, présenté comme dernier délai laissé à Instructure pour reprendre contact.
L’angle renseignement est central. Le fichier cité ne sert pas seulement à nommer des cibles potentielles. Il structure un levier psychologique. En associant de grandes universités, des systèmes scolaires publics, des organismes professionnels et des entités de formation, l’opérateur crée un effet de masse. Le risque immédiat n’est donc pas seulement la fuite. Il tient aussi à la désorganisation : vérifications internes, demandes des familles, sollicitations médiatiques, décisions juridiques, mobilisation des équipes de sécurité et incertitude sur l’exposition réelle.
La prudence reste indispensable. Une liste publiée par un acteur criminel ne constitue pas une preuve d’intrusion complète, ni une confirmation que chaque établissement a subi une compromission directe. ShinyHunters parle de 275 millions d’utilisateurs. Découvrez la cartographie réalisée par ZATAZ pour afficher les entitées annoncées comme impactées par le pirate informatique.
Une liste mondiale, classée par paysD’après les noms constatés par Zataz, les États-Unis concentrent la plus grande partie des entités citées. On y retrouve notamment Liberty University, University of Minnesota, The Ohio State University, Virginia’s Community Colleges, Indiana University, Arizona State University, Clark County School District, University of Virginia, Montgomery County Public Schools, Los Angeles Community College District, Hillsborough Schools, Broward County Public Schools, Alamo Colleges, University of Utah, University of Michigan Ann Arbor, Columbia University, University of Washington, Georgia Institute of Technology, Rutgers University, Harvard University, UC Berkeley, Stanford University, University of Florida, University of Colorado Boulder, University of Texas at Arlington, University of North Texas, Georgetown, UCLA, Yale, MIT, Princeton University, Johns Hopkins University, Cornell University, Duke University, Boston College et Carnegie Mellon University.
Au Canada, les noms relevés incluent The University of British Columbia, University of Toronto, University of Alberta, University of Saskatchewan, Simon Fraser University, Mohawk College, Loyalist College, Ontario Tech University, Carleton University, Athabasca University, Brock University, Humber College et MacEwan University. Le Royaume-Uni apparaît avec University of Oxford, University of Birmingham, University of Hertfordshire, University of Liverpool, University of Hull, University of Wolverhampton, University of Sunderland, Newcastle University, University of Manchester, Cranfield University, Queen’s University Belfast, London Business School, Swansea University, University of Stirling, University of Galway, Imperial College London, Keele University et De Montfort University Leicester.
L’Australie figure aussi largement, avec QLD DoE, Royal Melbourne Institute of Technology, University of Sydney, University of Melbourne, Swinburne University, University of Adelaide, Griffith University, QUT, Australian Catholic University, Flinders University, Department of Education Victoria, Department of Education WA, Torrens University, University of Canberra, Australian National University, Edith Cowan University, Curtin University, University of the Sunshine Coast et Catholic Education Tasmania. La Nouvelle-Zélande apparaît avec The University of Auckland, Auckland University of Technology, Manukau Institute of Technology, Te Herenga Waka Victoria University of Wellington et University of Canterbury dans des entrées associées.
En Europe continentale, la Suède est représentée par Uppsala University, Lund University, Göteborgs universitet, Umeå University, Luleå tekniska universitet, KTH Royal Institute of Technology, Karolinska Institutet, Stockholm University, Malmö universitet, Chalmers Tekniska Högskola, Karlstads universitet, Dalarna University et Linköping University. Les Pays-Bas apparaissent avec University of Amsterdam, Vrije Universiteit Amsterdam, Tilburg University, Eindhoven University of Technology, Fontys Hogeschool, Hogeschool Utrecht, Hogeschool Rotterdam, Maastricht University et Design Academy Eindhoven. La Norvège est citée avec University of Oslo, OsloMet, University of Stavanger, UiT The Arctic University of Norway, NTNU, Nord universitet et Universitetet i Agder. Le Danemark apparaît avec University of Copenhagen et Copenhagen Business School. La Finlande est mentionnée avec Aalto University Executive Education, Laurea UAS, Arcada University of Applied Sciences et Diaconia University of Applied Sciences. La Suisse figure avec Universität St.Gallen, IMD Learning, EPFL-EMBA et Hochschule Luzern. L’Espagne apparaît avec Universitat Oberta de Catalunya, Universidad Internacional de La Rioja, Universidad Francisco de Vitoria, Universidad Católica de Murcia, CUNEF et ESIC. L’Irlande est citée avec University College Cork, Munster Technological University, Atlantic Technological University et Dublin Institute of Technology. Selon la presse belge, au moins 8 établissements du royaume seraient impactés : la VUB, Thomas More, l’Arteveldehogeschool, la Karel de Grote Hogeschool, la Hogeschool Gent, le CVO Gent et l’Erasmushogeschool.
En Amérique latine, le Brésil est fortement présent, avec AFYA Educacional, PUC Minas, Universidade Veiga de Almeida, Hospital Israelita Albert Einstein, Hospital Sírio-Libanês, FAAP, UNIP, Grupo SEB, UNASP, Fundação Dom Cabral, Insper, Mackenzie et FGV. Le Mexique apparaît avec Tecmilenio, UPAEP, Universidad Autónoma de Guadalajara, Universidad de Monterrey, ITESO, Anáhuac Online, Instituto Tecnológico Autónomo de México et Tecnológico de Monterrey. Le Chili est cité avec Universidad Andrés Bello, Pontificia Universidad Católica de Chile, Universidad del Desarrollo, Universidad Autónoma de Chile et Universidad de Chile. La Colombie apparaît avec Politécnico Grancolombiano, Universidad del Sinú, UNIMINUTO, Universidad de La Costa et Institución Universitaria Digital de Antioquia. Le Pérou comprend TECSUP, Universidad de Piura, Universidad San Martín de Porres, CENTRUM PUCP et Universidad de Ingeniería y Tecnología. L’Équateur, le Guatemala, le Salvador, le Costa Rica et Porto Rico figurent aussi dans la cartographie.
En Asie, les noms incluent National University of Singapore, Singapore University of Social Sciences, City University of Hong Kong, Hong Kong University of Science and Technology, Hong Kong Polytechnic University, Far Eastern University, University of Santo Tomas, De La Salle University, University of Cebu, University of San Carlos, Nihon University, Mahidol University, Chiang Mai University, British University Vietnam, Fulbright University Vietnam, North South University et Kuwait University. En Afrique et au Moyen-Orient, la liste mentionne University of the Witwatersrand, STADIO, SPARK Schools, African Leadership Academy, American University of Sharjah, Hamad Bin Khalifa University, Al Akhawayn University, Galala University et Université Mohammed VI Polytechnique.
La cartographie suggère moins une attaque locale qu’un enjeu d’écosystème : comptes, intégrations, instances Canvas et chaînes éducatives interconnectées deviennent des surfaces de renseignement exploitables.
merci à ZATAZ
