Des établissements d’enseignement postsecondaire de l’Ontario, dont l’Université de Toronto, figurent parmi les milliers d’établissements touchés par un incident de cybersécurité concernant le logiciel d’apprentissage Canvas.

Celui-ci est utilisé par les établissements scolaires pour partager du matériel pédagogique, comme des vidéos de cours, des notes et des devoirs, et pour distribuer les notes.

Instructure, la société mère américaine de Canvas, a initialement publié un message sur son site Web le 1^er mai concernant une faille de sécurité  causée par un acteur malveillant.

Un message publié le 2 mai indiquait que certaines informations d’identification des utilisateurs de Canvas, telles que leurs noms, adresses courriel, numéros d’étudiant et messages, pourraient avoir été compromises. Cependant, selon Steve Proud, responsable de la sécurité des systèmes d’information de l’entreprise, aucun mot de passe, information gouvernementale ou financière n’a été dérobé.

À ce jour, CBC News a confirmé que cinq établissements d’enseignement ontariens ont été touchés par la faille : l’Université de Toronto, l’École de commerce Ivey de l’Université Western, l’Université de l’École d’art et de design de l’Ontario (OCAD), le Collège Mohawk et l’Université Ontario Tech.

L’Université de Toronto, l’OCAD et l’Université Ontario Tech ont indiqué que la session d’hiver est terminée et qu’il n’y a donc eu aucune incidence sur les cours.

 À ma connaissance, il s’agit du plus important piratage informatique jamais perpétré dans le secteur de l’éducation. C’est une attaque incroyablement destructrice.

Instructure a indiqué mercredi que Canvas était pleinement opérationnel et qu’aucune activité non autorisée n’était en cours. L’entreprise a précisé être en contact avec les clients touchés pour leur apporter son soutien.

Selon David Shipley, PDG de Beauceron Security, les pirates à l’origine de la première intrusion seraient revenus jeudi pour extraire davantage de données, défigurer les pages de connexion et envoyer des messages aux établissements scolaires et aux élèves exigeant un paiement.

Dans un courriel envoyé vendredi, Brian Watkins, porte-parole d’Instructure, a déclaré que l’entreprise avait découvert que l’auteur de l’incident de sécurité avait modifié les pages qui s’affichaient lorsque certains élèves et enseignants se connectaient à Canvas. Canvas a été immédiatement mis hors ligne pour mener l’enquête, a-t-il ajouté.

 Nous avons confirmé que l’auteur de l’attaque a exploité une faille liée à nos comptes gratuits pour enseignants, a-t-il soutenu, précisant que ces comptes avaient été temporairement désactivés.  Cela nous permet de rétablir l’accès à Canvas, qui est désormais pleinement opérationnel. Nous regrettons les désagréments et les inquiétudes que cela a pu causer.

L’Associated Press a rapporté jeudi que Canvas était de nouveau hors service pendant plusieurs heures, sans préciser si le système avait été piraté ou si Instructure l’avait mis hors ligne par précaution.

Accès suspendu à l’Université de Toronto

Un communiqué de la communauté de l’Université de Toronto, publié jeudi, indiquait que le logiciel de gestion de l’apprentissage Quercus serait indisponible jusqu’à nouvel ordre en raison d’un incident de cybersécurité. L’université a précisé être en contact avec l’entreprise afin de trouver une solution.

Vendredi, l’université a annoncé la suspension du programme par mesure de précaution et a déconseillé aux étudiants d’y accéder. Elle a ajouté que les autres systèmes de l’Université de Toronto n’avaient pas été compromis.

L’OCAD a informé ses étudiants jeudi soir d’une interruption de service du programme Canvas Cloud en raison de l’incident de sécurité. L’établissement a indiqué surveiller activement la situation.

L’Université de Toronto a annoncé la suspension du programme Quercus par mesure de précaution et a déconseillé aux étudiants d’y accéder. (Photo d’archives)

Photo : Radio-Canada / Alex Lupul

 L’accès à Canvas a été rétabli et l’université a mis en garde contre d’éventuels messages d’hameçonnage demandant des renseignements personnels ou des mots de passe, a déclaré l’OCAD dans un communiqué publié vendredi.

Un avis publié sur le site Web d’Ontario Tech a également informé les étudiants et le personnel du problème, précisant que l’établissement collaborait avec les spécialistes en cybersécurité d’Instructure pour suivre la situation.

L’université a indiqué que tous les systèmes et plateformes d’apprentissage fonctionnent normalement, mais que toute activité suspecte doit être signalée au service d’assistance informatique.

Dans un courriel envoyé vendredi, le service informatique d’Ontario Tech a précisé que les renseignements potentiellement concernés se limitent aux noms, adresses courriel institutionnelles, numéros d’étudiant ou d’identification, et messages relatifs aux cours échangés sur Canvas. Rien n’indique que des renseignements financiers, des mots de passe ou d’autres systèmes universitaires aient été touchés.

L’Université Ontario Tech indique que tous les systèmes et plateformes d’apprentissage fonctionnent normalement, mais que toute activité suspecte doit être signalée au service d’assistance informatique. (Photo d’archives)

Photo : Radio-Canada / Patrick Morrell

 Par mesure de précaution, les étudiants et les employés ont été invités à rester vigilants face aux courriels d’hameçonnage et aux messages suspects, à éviter de communiquer des renseignements personnels sans y avoir été invités et à signaler toute activité suspecte au service d’assistance informatique, a ajouté le service. Nous ne prévoyons pas de perturbation majeure pour les études des étudiants.

L’université continuera de suivre la situation et communiquera les mises à jour aux étudiants, aux employés et à l’ensemble de la communauté universitaire au besoin.

Pour sa part, M. Watkins a indiqué que la plateforme Canvas a depuis été rétablie pour Ontario Tech.

Le Collège Mohawk, situé à Hamilton, a été informé de l’incident de cybersécurité en début de semaine et Canvas était temporairement inaccessible jeudi, a déclaré le porte-parole de l’établissement, Sean Coffey.

Deux établissements d’enseignement en Colombie-Britannique, ainsi que l’Université de l’Alberta, figurent également parmi les établissements touchés. (Photo d’archives)

Photo : Radio-Canada / Eve Côté

Il a indiqué qu’Instructure avait précisé que les mots de passe, les identifiants d’authentification unique, les dates de naissance, les adresses et les informations financières n’avaient pas été compromis lors de la faille de sécurité.

Deux établissements d’enseignement en Colombie-Britannique, l’Université de la Colombie-Britannique et l’Université Simon Fraser (SFU), ainsi que l’Université de l’Alberta, figurent également parmi les établissements touchés.

Un porte-parole de la SFU a déclaré par courriel qu’environ 9000 établissements d’enseignement à travers le monde ont été affectés par cette faille de sécurité.

Des pirates informatiques revendiquent l’attaque

Un groupe de pirates informatiques, connu sous le nom de ShinyHunters, a revendiqué la responsabilité de la faille de sécurité contre Canvas, confirme Luke Connolly, analyste des menaces chez Emisoft, une entreprise de cybersécurité, à l’Associated Press.

Le groupe est décrit comme une association informelle d’adolescents et de jeunes adultes basés aux États-Unis et au Royaume-Uni, précise-t-il.

Selon M. Shipley, ce groupe est une bande spécialisée dans l’extorsion de données, responsable de certains des piratages les plus importants de ces dernières années, notamment ceux de Telus et de l’entreprise britannique Marks & Spencer.

M. Connolly a fourni à l’Associated Press des captures d’écran montrant que ShinyHunters proférait des menaces dimanche de divulgation de données. Le groupe a fixé des  échéances à jeudi et au 12 mai, ce qui, selon lui, pourrait indiquer que des discussions sont en cours concernant le paiement d’une rançon.

USA Today a rapporté vendredi qu’une lettre de rançon du groupe avait été partagée en ligne dimanche par Ransomware.live, un site Web qui recense les groupes de rançongiciel.

La lettre indiquait que les données de plus de 275 millions de personnes avaient été consultées dans 9000 établissements scolaires et que ces informations seraient divulguées si aucune rançon n’était versée.

Avec les informations d’Arrthy Thayaparan, CBC News