Fuite Canvas : le guide complet pour sauver vos données après le piratage de 275M d'étudiants
Le jeudi 7 mai 2026, des milliers d'étudiants français se sont retrouvés face à un écran blanc en tentant d'accéder à leurs cours. Canvas, la plateforme d'apprentissage utilisée par des centaines d'établissements dans l'Hexagone, était hors service. Très vite, la raison est tombée comme un couperet : le groupe de hackers ShinyHunters a revendiqué le piratage d'Instructure, l'éditeur américain du logiciel, et menace de divulguer 3,65 téraoctets de données personnelles. L'ultimatum expire le 12 mai 2026 à minuit. Avec 275 millions d'utilisateurs potentiellement exposés dans 9 000 écoles et universités à travers le monde, cette fuite est l'une des plus massives jamais subies par le secteur éducatif. Voici ce qu'il faut savoir et surtout ce qu'il faut faire.
12 mai 2026 : l'ultimatum qui fait trembler les facs
Ce mercredi matin, dans les groupes WhatsApp de promo, le même message circule : « Canvas ne marche plus chez vous aussi ? » La panne est générale. Les étudiants parisiens, lillois ou marseillais découvrent que leurs cours en ligne, leurs devoirs à rendre et leurs messages aux profs sont soudainement inaccessibles. Personne ne le sait encore, mais le mot de passe qu'ils ont tapé une dernière fois la veille est peut-être déjà entre les mains de cybercriminels.
L'ambiance est électrique sur les réseaux sociaux. Sur X, les captures d'écran d'écrans de connexion défigurés par les hackers circulent. Des messages en anglais apparaissent sur les pages d'accueil de certaines universités : « Vos données nous appartiennent désormais. » Le sentiment d'impuissance est total. Les services informatiques des établissements, débordés, renvoient vers des communiqués laconiques : « Incident en cours, nous vous tiendrons informés. »
« Vous avez jusqu'à minuit le 12 mai » : la chronique d'une panne annoncée
L'attaque n'est pas arrivée par surprise pour les experts. Selon les informations rapportées par Hackread, l'intrusion dans les systèmes d'Instructure a débuté le 30 avril 2026. Le 1er mai, ShinyHunters revendique l'opération sur Telegram. Le 3 mai, la société américaine confirme officiellement l'incident. Mais c'est le 7 mai que le basculement a lieu : les hackers défigurent les pages de connexion de plusieurs écoles clientes et Canvas devient inaccessible pour des millions d'utilisateurs dans le monde. Le même jour, TechCrunch rapporte que ShinyHunters a partagé un échantillon des données volées pour prouver ses dires.
L'ultimatum est sans équivoque. Cité par The Verge, le message posté sur Telegram par les hackers dit ceci : « You have till the end of the day by 12 May 2026 before everything is leaked. » Traduction : vous avez jusqu'à la fin de la journée du 12 mai 2026 avant que tout soit divulgué. Cinq jours. C'est le temps qu'il reste aux établissements et aux étudiants pour réagir.
275 millions d'utilisateurs, 3,65 To de données : l'ampleur du sinistre
Les chiffres donnent le vertige. D'après Malwarebytes, ce piratage touche environ 275 millions d'utilisateurs – étudiants, enseignants, personnels administratifs – répartis dans 9 000 établissements. Le volume de données exfiltrées atteint 3,65 téraoctets. C'est l'une des plus grandes fuites de données éducatives jamais enregistrées, à égalité avec les pires incidents du secteur.
Pour donner une idée de l'ampleur mondiale, l'Université Harvard figure parmi les établissements listés comme potentiellement concernés. Selon The Crimson, le site Canvas de Harvard est devenu inaccessible le 7 mai. Si une institution aussi prestigieuse est touchée, on imagine sans peine que des universités françaises – qui utilisent massivement Canvas via leurs ENT – sont dans le même bateau.
ShinyHunters : un groupe qui n'en est pas à son coup d'essai
ShinyHunters n'est pas un nouveau venu dans le monde du cybercrime. Le groupe s'est fait connaître en avril 2026 en attaquant Udemy, une plateforme de formation en ligne, et en divulguant les données de 1,4 million d'utilisateurs. Spécialisé dans les ransomwares et l'exfiltration de données à grande échelle, le groupe cible prioritairement les entreprises technologiques et les institutions éducatives, où les données personnelles sont nombreuses et souvent mal protégées. Cette attaque contre Instructure est leur plus gros coup à ce jour.
Quelles données ShinyHunters a-t-il volées sur Canvas ?
La première question qui vient à l'esprit est simple : qu'est-ce que les hackers savent de moi ? La réponse est plus inquiétante qu'on ne le croit. ShinyHunters n'a pas seulement volé des noms et des emails. Le groupe a eu accès à l'intégralité de l'écosystème Canvas, ce qui inclut des données personnelles, académiques et relationnelles.
Le site belge Safeonweb.be, spécialisé dans la sécurité numérique, a analysé l'échantillon partagé par les hackers. Le verdict est clair : les données compromises sont nombreuses et variées. Il est essentiel de comprendre ce qui a été volé pour savoir comment se protéger.
Ce que les hackers savent de vous (et ce qu'ils ignorent)
Voici la liste des informations confirmées comme dérobées : vos noms et prénoms, votre adresse email institutionnelle, votre identifiant d'étudiant (student ID number), les messages privés que vous avez échangés avec d'autres utilisateurs via la plateforme, et vos lieux d'étude (locations of study). Ce dernier point est particulièrement sensible : il permet de savoir dans quelle salle de cours, quel bâtiment ou quelle bibliothèque vous vous trouvez à un instant T.
La bonne nouvelle, c'est qu'aucun mot de passe ni donnée bancaire ne semble avoir été compromis dans cette attaque. Safeonweb.be précise que les hackers n'ont pas revendiqué la possession de ces informations, et l'échantillon analysé n'en contient pas. Cela signifie que vos comptes bancaires ne sont pas directement menacés par cette fuite. Mais attention : cela ne veut pas dire que vous êtes tiré d'affaire. Les données volées sont suffisantes pour lancer des attaques d'ingénierie sociale extrêmement convaincantes.
Messages privés et lieux d'études : la mine d'or des hackers en ingénierie sociale
Le vrai danger de cette fuite ne réside pas dans les noms et les emails. Ces informations, on les trouve déjà sur LinkedIn ou dans les annuaires universitaires. Le problème, ce sont les messages privés. Imaginez : vous avez échangé avec votre professeur pour lui demander un délai supplémentaire sur un devoir. Vous avez discuté avec un camarade de votre projet de groupe. Vous avez partagé des informations personnelles dans une conversation privée. Tout cela est désormais lisible par ShinyHunters.
Avec ces données, les hackers peuvent monter des campagnes de phishing hyper-personnalisées. Ils peuvent vous envoyer un email qui reprend mot pour mot une conversation que vous avez eue avec votre enseignant, en vous demandant de cliquer sur un lien pour « confirmer votre identité ». Ils peuvent se faire passer pour un camarade de classe et vous inciter à télécharger un fichier malveillant. C'est ce qu'on appelle l'ingénierie sociale, et c'est redoutablement efficace.
Par ailleurs, ces données personnelles pourraient être utilisées dans le cadre de la surveillance américaine. Comme nous l'expliquons dans notre article sur la prolongation des pouvoirs du FISA, les agences de renseignement américaines ont accès aux données hébergées par des entreprises américaines. Instructure en fait partie. Vos messages privés pourraient donc être consultés par des agences étrangères sans que vous le sachiez.
Les données académiques : un trésor pour les fraudeurs
Au-delà des messages et des identifiants, les hackers ont également mis la main sur des données académiques : notes, relevés de présence, inscriptions aux cours, historiques de connexion. Ces informations peuvent sembler anodines, mais elles sont très recherchées sur le dark web. Des fraudeurs peuvent les utiliser pour créer des faux diplômes, usurper l'identité d'un étudiant pour passer des examens à sa place, ou même revendiquer des bourses et des aides financières auxquelles ils n'ont pas droit. La revente de ces données peut rapporter des milliers d'euros à ShinyHunters.
Pourquoi les étudiants français sont en première ligne face au piratage Canvas
Si vous pensiez que cette histoire ne concernait que les Américains, détrompez-vous. La France est l'un des pays les plus exposés à cette fuite. Canvas est massivement utilisé dans les universités et les grandes écoles françaises. Et le contexte local rend la situation encore plus inquiétante.
Depuis le début de l'année 2026, le secteur éducatif français est la cible d'une vague de cyberattaques sans précédent. Selon France Info, notre pays est le deuxième au monde le plus touché par les fuites de données en 2026. Les pirates semblent avoir un appétit particulier pour les données des élèves et des enseignants.
Avant Canvas, le ministère de l'Éducation avait déjà été piraté : l'affaire COMPAS
Le 14 mars 2026, le ministère de l'Éducation nationale a confirmé un incident de sécurité majeur. Le logiciel COMPAS, utilisé pour la gestion des ressources humaines des personnels de l'Éducation, a été piraté. Selon le communiqué officiel du ministère, 243 000 agents – enseignants, personnels administratifs – ont vu leurs données personnelles dérobées : noms, prénoms, adresses, numéros de téléphone, périodes d'absence. L'auteur présumé se fait appeler « Hexdex ».
Quelques jours plus tard, c'est le SGEC (Secrétariat général de l'enseignement catholique) qui est victime d'une intrusion. Cette fois, ce sont 1,5 million de personnes qui sont impactées. Données administratives, fiches de paie, informations familiales : tout est parti. Ces deux incidents montrent que les hackers considèrent le secteur éducatif français comme une cible de choix, avec des systèmes de sécurité parfois obsolètes et une culture de la protection des données encore balbutiante.
La France, cible numéro 2 des hackers en 2026
Pourquoi la France est-elle autant visée ? Plusieurs facteurs se cumulent. D'abord, la numérisation massive de l'administration et de l'éducation ces dernières années a créé une surface d'attaque énorme. Ensuite, le contexte géopolitique tendu – avec la Coupe du monde de football 2026 qui se déroule aux États-Unis et les tensions commerciales avec l'administration Trump – fait des données personnelles une monnaie d'échange prisée. Enfin, les hackers savent que les établissements français manquent souvent de moyens et de personnel dédié à la cybersécurité.
Cette vulnérabilité systémique est un terreau fertile pour les attaques. Et le piratage de Canvas vient s'ajouter à une liste déjà longue. Pour les étudiants français, le risque est bien réel.
Votre établissement est-il sur la liste des 9 000 cibles ?
La question que tout le monde se pose : mon université ou mon lycée fait-il partie des 9 000 établissements touchés ? Pour l'instant, aucune communication officielle n'a filtré en France. Instructure n'a pas publié la liste complète de ses clients impactés, et les établissements français attendent des consignes du ministère.
Mais on peut déjà faire quelques déductions. Canvas est utilisé par des centaines d'universités et de grandes écoles en France, notamment via les ENT (Espaces Numériques de Travail). Si Harvard est touché, il est très probable que des établissements français le soient aussi. Le meilleur réflexe est de consulter les communiqués de votre propre ENT ou de contacter directement le DPO (Délégué à la Protection des Données) de votre établissement. Ne restez pas dans le flou.
4 réflexes à adopter dès maintenant pour protéger vos données (checklist CNIL)
Assez parlé du problème, passons aux solutions. Vous vous sentez vulnérable, c'est normal. Mais la panique est le pire conseiller. Voici une checklist concrète, directement inspirée des recommandations de la CNIL et de Safeonweb.be, à appliquer dès maintenant. Chaque réflexe vous protégera un peu plus contre les conséquences de cette fuite.
1. Changer son mot de passe Canvas (et arrêter de le réutiliser)
C'est la première action à effectuer, même si Canvas est hors service. Dès que la plateforme sera de nouveau accessible – ou si vous pouvez encore accéder à votre compte via une autre interface – changez immédiatement votre mot de passe. Même si les mots de passe n'ont pas été volés, il est possible que les hackers aient trouvé un moyen de les intercepter.
Mais le geste le plus important est ailleurs. Si vous utilisez le même mot de passe pour Canvas et pour d'autres services (votre boîte mail personnelle, Instagram, Amazon, etc.), vous devez le changer partout. C'est ce qu'on appelle la réutilisation de mots de passe, et c'est le cauchemar des experts en sécurité. Un seul mot de passe compromis peut donner accès à l'ensemble de votre vie numérique.
Pour créer un mot de passe robuste, utilisez une phrase de passe longue et unique, ou un gestionnaire de mots de passe comme Bitwarden ou 1Password. Et surtout, ne notez jamais votre mot de passe sur un Post-it collé à votre écran.
2. Activer la double authentification (2FA) avant qu'il ne soit trop tard
La double authentification est le rempart le plus efficace contre l'usurpation de comptes. Beaucoup d'étudiants ignorent que Canvas propose cette fonctionnalité. Pour l'activer, connectez-vous à votre compte Canvas (quand il sera de nouveau accessible), allez dans les paramètres de votre profil, et cherchez l'option « Authentification à deux facteurs » ou « 2FA ». Vous pouvez généralement choisir entre une application d'authentification comme Google Authenticator ou Authy, ou la réception d'un code par SMS.
Activez-la sans attendre. Même si les hackers ont votre mot de passe, ils ne pourront pas se connecter sans le code généré par votre téléphone. C'est simple, gratuit, et ça peut vous sauver la mise.
3. Repérer les phishing ultra-personnalisés qui vont arriver
Le vrai danger de cette fuite, c'est le phishing. Les hackers ont vos messages privés. Ils peuvent imiter votre professeur, votre camarade de classe ou l'administration de votre université. Attendez-vous à recevoir des emails ou des messages très convaincants dans les jours et semaines à venir.
Voici quelques signes qui doivent vous alerter : un message qui vous demande de cliquer sur un lien pour « vérifier votre compte », une demande urgente de « mise à jour de vos informations personnelles », ou un email qui reprend mot pour mot une conversation que vous avez eue sur Canvas. Ne cliquez jamais sur un lien si vous avez le moindre doute. Vérifiez toujours l'adresse email de l'expéditeur. Et si un message vous semble suspect, contactez directement la personne concernée par un autre moyen (téléphone, message sur une autre plateforme).
Comme le rappelle Safeonweb.be, les hackers vont probablement lancer des campagnes de phishing massives en utilisant les données volées. Soyez doublement vigilant.
4. Contacter le DPO de son école et notifier la CNIL
Vous avez des droits. En France, toute violation de données personnelles doit être signalée à la CNIL dans les 72 heures. C'est la responsabilité de votre établissement, mais vous pouvez aussi agir de votre côté.
La première chose à faire est de contacter le DPO (Délégué à la Protection des Données) de votre école ou université. Son rôle est de veiller à la protection des données des élèves et du personnel. Demandez-lui des informations sur l'impact de la fuite sur votre établissement et sur les mesures prises.
Ensuite, si vous estimez que vos données ont été compromises et que votre établissement ne réagit pas correctement, vous pouvez déposer une plainte auprès de la CNIL. Le site cnil.fr propose un formulaire en ligne pour signaler une violation de données. N'hésitez pas à l'utiliser.
Alternatives à Canvas : quelles solutions françaises pour finir l'année ?
Au-delà de la protection individuelle, une question plus large se pose : comment finir l'année scolaire sans Canvas ? La plateforme est hors service, et personne ne sait quand elle sera de nouveau opérationnelle. Les cours en ligne, les devoirs à rendre, les échanges avec les profs : tout est suspendu.
Heureusement, la France dispose d'alternatives solides. Moodle, Pronote, les ENT GAR : ces solutions, souvent hébergées en France, offrent une sécurité et une souveraineté que Canvas ne peut pas garantir.
Moodle, Pronote, ENT : le système D français face à la panne Canvas
La plateforme open source Moodle est utilisée par de nombreuses universités françaises, comme l'Université de Lille ou l'Université Grenoble Alpes. Elle est réputée pour sa robustesse et sa sécurité. Contrairement à Canvas, Moodle peut être hébergé sur des serveurs français, ce qui le rend moins vulnérable aux lois américaines comme le Cloud Act.
Pronote, la solution française de gestion de vie scolaire, est également une option pour les lycées et collèges. Bien que moins orientée vers l'enseignement supérieur, elle permet de gérer les notes, les absences et les devoirs. Enfin, les ENT GAR (Gestionnaire d'Accès aux Ressources) sont déployés dans de nombreuses académies et offrent des fonctionnalités similaires à Canvas.
Si votre établissement utilise Canvas, demandez-lui s'il peut basculer temporairement sur une de ces solutions. Et surtout, sauvegardez vos cours et vos fichiers depuis Canvas si vous y avez encore accès. Téléchargez vos documents, vos notes et vos messages importants. Ne laissez rien sur la plateforme.
FISA et Cloud Act : vos données Canvas déjà sous tutelle américaine ?
Le piratage de Canvas pose une question politique fondamentale : pourquoi confier les données de nos étudiants à une entreprise américaine ? Comme nous l'expliquons dans notre article sur la guerre des données entre les États-Unis et l'Europe, les données hébergées par des sociétés américaines sont potentiellement accessibles aux agences de renseignement des États-Unis, en vertu du FISA et du Cloud Act.
Instructure, l'éditeur de Canvas, est une entreprise américaine. Cela signifie que vos données – vos noms, vos emails, vos messages privés – peuvent être consultées par la NSA ou le FBI sans que vous le sachiez. Et avec la prolongation des pouvoirs du FISA en avril 2026, cette surveillance est plus étendue que jamais.
Cette fuite est donc un signal d'alarme. Elle montre que la dépendance aux outils SaaS américains dans l'éducation est un risque pour la souveraineté numérique de la France.
La fuite Canvas peut-elle tuer l'usage des LMS américains en France ?
C'est la question que se posent les décideurs français. Après les piratages COMPAS, SGEC et maintenant Canvas, le ministère de l'Éducation nationale va-t-il exiger le passage au tout souverain ? Rien n'est moins sûr, mais la pression monte.
Des voix s'élèvent pour réclamer un moratoire sur l'utilisation de solutions américaines dans l'éducation. Le débat est géopolitique. D'un côté, les LMS américains offrent des fonctionnalités avancées et une interopérabilité mondiale. De l'autre, ils exposent les données des élèves à des risques de surveillance et de piratage. La France devra trancher.
Que faire si la fuite est totale après le 12 mai ?
Le 12 mai 2026 à minuit, l'ultimatum expire. Si ShinyHunters met sa menace à exécution, les 3,65 téraoctets de données seront divulgués sur le dark web. C'est le scénario du pire. Il faut s'y préparer.
Si les données fuient vraiment, à quoi faut-il s'attendre ?
La divulgation des données pourrait prendre plusieurs formes. Les hackers pourraient mettre en ligne une base de données consultable, ou la vendre au plus offrant sur des forums clandestins comme BreachForums. Dans les deux cas, les conséquences seraient immédiates.
Attendez-vous à une vague de phishing massif. Les hackers utiliseront les adresses email et les messages privés pour envoyer des emails ultra-personnalisés. Mais il y a plus grave. Avec vos nom, adresse, identifiant étudiant et lieu d'étude, des criminels pourraient tenter une usurpation d'identité pour souscrire des prêts étudiants, ouvrir des comptes bancaires ou même acheter des biens en ligne à votre nom.
La différence entre une fuite de mots de passe et une fuite de données personnelles est énorme. Un mot de passe, on le change. Des données personnelles, on ne les change pas. Votre nom, votre adresse, votre date de naissance : ces informations sont définitivement compromises.
Parcoursup et identité numérique : le risque invisible pour les lycéens français
Les lycéens de 16 à 18 ans sont particulièrement vulnérables. Leur identité numérique d'étudiant est liée à Parcoursup, aux bourses, aux concours. Une usurpation de compte pourrait avoir des conséquences désastreuses sur leur orientation.
Imaginez : un hacker prend le contrôle de votre compte Parcoursup. Il modifie vos vœux, annule vos candidatures, ou répond à des messages de l'administration en votre nom. Vous pourriez vous retrouver sans affectation pour la rentrée prochaine. C'est un scénario catastrophe, mais il est possible.
Si vous êtes lycéen, vérifiez régulièrement vos comptes Parcoursup et bourses. Activez la double authentification partout où c'est possible. Et si vous remarquez une activité suspecte, signalez-la immédiatement à votre établissement et à la CNIL.
La surveillance de crédit : une option à envisager
Aux États-Unis, les victimes de fuites de données se voient souvent proposer une surveillance de crédit gratuite. En France, ce service est moins répandu, mais vous pouvez contacter des organismes comme la Banque de France pour vérifier si des comptes ou des prêts ont été ouverts à votre nom. Surveillez également vos relevés bancaires dans les mois à venir. Si vous voyez une opération suspecte, signalez-la immédiatement à votre banque.
Conclusion : votre vie numérique ne tient pas qu'à un mot de passe
Cette fuite est un électrochoc. Elle nous rappelle que nos données personnelles sont une monnaie d'échange prisée par les hackers, et que le secteur éducatif français est en première ligne. Les 4 réflexes de la checklist – changer son mot de passe, activer la 2FA, repérer le phishing, contacter le DPO – sont votre bouclier immédiat. Mais au-delà, c'est une prise de conscience collective qui est nécessaire.
La dépendance aux outils SaaS américains dans l'éducation est un risque pour notre souveraineté numérique. Comme nous le détaillons dans notre article sur la guerre des données, les enjeux sont géopolitiques. Il est temps de repenser notre modèle.
Partagez ce guide avec vos camarades, vos profs et votre établissement. Plus nous serons nombreux à réagir vite, moins les hackers auront de prise. Et rappelez-vous : votre vie numérique ne tient pas qu'à un mot de passe. Elle tient à votre vigilance.
