Certains indices laissent penser que des données d'utilisateurs de la plateforme d'apprentissage en ligne Canvas ont été dérobées. Canvas est utilisé par de nombreuses écoles, hautes écoles et universités, y compris en Belgique. Le groupe de hackers ShinyHunters affirme avoir volé les données d'un grand nombre d'utilisateurs à travers le monde.
Le Centre pour la Cybersécurité Belgique (CCB) suit la situation et contactera les écoles belges concernées.
Que s'est-il passé ?
La société américaine Instructure, créatrice de Canvas, a confirmé un incident de cybersécurité le 1er mai 2026. Selon Instructure, des noms, adresses mail, numéros d'étudiant et messages entre utilisateurs auraient été dérobés. La société indique qu'à l'heure actuelle, rien ne laisse penser que des mots de passe, dates de naissance, numéros d'identité officiels ou données financières soient concernés.
Le groupe de hackers ShinyHunters revendique la responsabilité de cette attaque et affirme qu'elle concerne les données de 275 millions d'utilisateurs et de milliers d'établissements d'enseignement à travers le monde. Ces chiffres sont avancés par les hackers et n'ont pas été confirmés de manière indépendante.
Qui est ShinyHunters ?
ShinyHunters est un groupe de pirates informatiques criminels connu pour le vol de données à des fins d'extorsion. Le groupe vole des données auprès d'organisations et menace de les rendre publiques ou de les vendre si la rançon n'est pas payée.
En Belgique, le nom de ShinyHunters a déjà été évoqué lors de la fuite de données chez l'opérateur télécom néerlandais Odido. Selon les informations disponibles, des données de Belges étaient également concernées.
Que fait le CCB ?
Le Centre pour la Cybersécurité Belgique suit la situation de près. Le CCB contactera les établissements d'enseignement belges potentiellement touchés. Ces établissements restent le premier point de contact pour leurs étudiants concernant l'impact concret sur leurs données.
À quoi les étudiants concernés doivent-ils prêter attention ?
Si des données telles que votre nom, votre adresse mail, votre numéro d'étudiant ou vos messages ont été dérobées, les criminels peuvent utiliser ces informations pour créer des messages de phishing convaincants. Soyez donc particulièrement vigilant face aux messages prétendument envoyés par votre établissement, Canvas, un enseignant, le service des inscriptions ou tout autre service officiel.
Soyez particulièrement attentif aux :
1. Messages qui semblent urgents
Méfiez-vous des mails ou SMS vous demandant de vous connecter immédiatement, de « réactiver » votre compte ou d’effectuer un paiement rapide.
2. Liens vers de fausses pages de connexion
Ne cliquez pas aveuglément sur les liens contenus dans les messages. Rendez-vous vous-même sur le site web officiel ou l’application de votre établissement ou de Canvas.
3. Demandes de mot de passe ou de codes
Une école, un enseignant ou un service d'assistance ne vous demandera jamais de lui envoyer votre mot de passe ou votre code de vérification en deux étapes.
4. Messages utilisant des informations personnelles
Le phishing peut paraître plus crédible si les criminels connaissent votre nom, votre école, votre formation ou votre numéro d'étudiant. Même un message contenant des données personnelles correctes peut être faux.
5. Pièces jointes ou téléchargements
N'ouvrez pas de pièces jointes inattendues, surtout si le message vous met la pression ou semble inhabituel.
Que pouvez-vous faire maintenant ?
- Suivez les communications officielles de votre établissement.
- Changez votre mot de passe si votre établissement vous le demande, ou si vous utilisez le même mot de passe ailleurs.
- Utilisez un mot de passe unique pour Canvas et votre compte étudiant.
- Activez la vérification en deux étapes lorsque cela est possible.
- Ne cliquez pas sur des liens suspects.
- Transférez les messages suspects à suspect@safeonweb.be, puis supprimez-les.
Avez-vous tout de même saisi votre mot de passe sur un site web suspect ? Changez-le immédiatement et prévenez le service informatique de votre école.
