La Chambre n’est pas contente. Les législateurs exigent qu’Instructure se présente. Ils veulent des témoignages. Pourquoi? Parce que la plateforme éducative a été piratée à deux reprises. Des millions d’étudiants. Des millions d’enseignants. Tous exposés.
Et Instructure était lente. Très lent.
« Le Congrès veut une structure pour répondre aux questions »
L’accord avec ShinyHunters semble bon sur le papier. Les pirates ont promis de détruire les données volées. Plus d’extorsion. Juste du silence. Instructure a déclaré avoir reçu des « journaux de déchiquetage » comme preuve. Une confirmation numérique, en quelque sorte.
Mais est-ce que quelqu’un croit aux groupes de ransomwares ?
Le représentant Andrew Garbarino préside le comité de la sécurité intérieure. Il envoie des lettres. Il veut savoir comment s’est déroulée la coordination avec la CISA. Était-ce suffisant ? L’Agence de cybersécurité et de sécurité des infrastructures a aidé à contenir l’explosion. En dehors des experts légistes, Instructure les a appelés. Garbarino voit quelque chose qui manque dans ce récit.
C’est un républicain de New York. Il ne se soucie pas beaucoup de l’évasion fiscale des entreprises. Sa lettre au PDG Steve Daly va droit au but :
- Comment sont-ils rentrés ?
- Qu’est-ce qui a été volé exactement ?
Noms d’utilisateur. Courriels. Noms des cours. Messages entre enseignants et enfants. Inscriptions. Instructure les répertorie comme s’il s’agissait d’inconvénients mineurs. Ce n’est pas le cas. Ce sont des vies.
Le double tapotement
29 avril. ShinyHunters s’est introduit. Ils ont utilisé une faille liée aux comptes “Free-For-Teacher”. C’est un vecteur spécifique. Une porte dérobée qu’ils ont gardée ouverte ou peut-être qu’ils ont juste trouvée.
Ils ont gratté tout ce qu’ils pouvaient trouver.
Puis ils firent une pause.
Jusqu’au 7 mai. Ils ont encore frappé. Cette fois, ils ont laissé un mot. Une provocation numérique sur l’écran de connexion. Instructure a paniqué. Bien. Ils auraient dû. Canvas est passé en mode maintenance. Les étudiants se sont connectés. Rien ne s’est passé. Juste un mur de code disant « essayez plus tard ».
ShinyHunters a affirmé que plus de 9 000 institutions étaient dans leur ligne de mire. Universités. Écoles publiques. K-12 partout. Ce qui veut dire les mineurs. Les données des enfants mineurs circulent sur le dark web. C’est un cauchemar pour les défenseurs de la vie privée. Et pour les parents.
Qui sont les ShinyHunters ?
Si le nom vous semble familier. Bien. Cela devrait.
Ce n’est pas un enfant au hasard avec un ordinateur portable. C’est un collectif organisé. Vétérans des ransomwares. Ils ont récemment affronté Anodot. Ils ont récupéré les données commerciales de Rockstar Games en avril. Microsoft ? Cisco ? AT&T ? Ils ont regardé là-bas. Les compagnies d’assurance ? Les coopératives de crédit ? Toute personne détenant des données sensibles est une cible.
L’infrastructure n’est pas unique. Juste très médiatisé.
À l’heure actuelle, Canvas fonctionne. Surtout. Les comptes Free-For-Teacher sont cependant morts. Temporairement désactivé. Instructure affirme que le partenaire médico-légal ne voit aucune menace active. Les acteurs sont sortis. Ou du moins. Ils sont silencieux.
Un webinaire est prévu. Peut-être pour le 13 mai ? Les dates ne cessent de changer. L’entreprise pointe vers sa page d’incident pour tout le reste. Mouvement de relations publiques standard. Dévier. Reportez-vous à l’article du blog.
Payer la rançon. Encore.
Voici la vraie controverse.
Structure payante.
Ils sont parvenus à un accord. ShinyHunters a supprimé les données (prétendument). Instructure a fièrement annoncé cet accord. Les experts du secteur détestent cela. Le FBI déteste ça.
« Cela normalise le comportement des futurs criminels »
Troy Hunt exécute Have I Been Pwned. Il traque les brèches pour gagner sa vie. Il pense que c’est un terrible conseil. Payer les criminels rend le crime rentable. Cela envoie un signal. Le crime paie.
Pourquoi l’ont-ils fait ? Échelle. Portée. Pression des écoles. Les parents crient à la sécurité de leurs enfants. L’infrastructure se sentait coincée dans un coin. Peut-être pensaient-ils que c’était le seul moyen d’arrêter les fuites.
Hunt n’achète pas les bûches déchiquetées.
“Il n’y a jamais de certitude totale”, affirme le site Internet d’Instructure. Même eux le savent. Pourtant, ils ont qualifié cela de succès.
Regardez PowerSchool. Fin 2024. Ils ont payé ShinyHunters. J’ai une vidéo des pirates brûlant des disques durs (numériquement). Les données ont-elles disparu ? Non, cela a fait surface plus tard. Les enseignants ont été extorqués individuellement. Plus d’argent demandé. Pour les mêmes données.
Ce modèle existe. Cela se répète.
Instructure pense avoir esquivé la balle. Le FBI pense qu’ils ont nourri le loup. Troy Hunt pense qu’il s’agit d’un coup d’avertissement adressé à toutes les autres entreprises qui disposent de données sur les étudiants.
Les copies ont disparu ?
Probablement pas.
Les ShinyHunters sont expérimentés. Ils ont probablement des sauvegardes. Hors site. Crypté. En attente d’une nouvelle ouverture.
Instructure ne dit aucune preuve d’accès actuel. Le partenaire médico-légal dit qu’ils sont en sécurité. Mais la sécurité n’est pas sécurisée. Et la destruction n’a pas disparu.
Des millions de dossiers d’étudiants. Là-bas. Quelque part.
En attente de la prochaine demande.
