Plusieurs établissements d’enseignement supérieur canadiens affirment avoir été frappés par une cyberattaque visant un système éducatif utilisé par des milliers d’établissements scolaires à travers le monde.
L’entreprise technologique Instructure a déclaré avoir ouvert une enquête le 29 avril après avoir détecté une «activité non autorisée» sur Canvas, une plateforme d’apprentissage destinée aux établissements scolaires qui gère les travaux des élèves, leurs notes et d’autres ressources pédagogiques.
Les informations visées par l’attaque pourraient inclure des noms, des adresses courriel et des messages échangés sur la plateforme, mais rien n’indique que des mots de passe, des informations financières ou des identifiants gouvernementaux aient été compromis, a précisé l’entreprise.
Instructure a indiqué que Canvas avait été temporairement mis hors ligne, mais qu’il était désormais à nouveau accessible, et qu’une enquête sur la violation était menée par un cabinet d’expertise judiciaire tiers et les forces de l’ordre.
En Ontario, des établissements tels que l’Université de Toronto, le Mohawk College, l’Université OCAD et l’Ivey Business School de l’Université Western figuraient parmi les 9000 établissements touchés par cet incident à l’échelle mondiale.
Des établissements de Colombie-Britannique, notamment l’UBC et l’Université Simon Fraser, ont également signalé avoir été touchés par l’incident, tout comme l’Université de l’Alberta.
Un porte-parole du commissaire fédéral à la protection de la vie privée du Canada a indiqué que le bureau était au courant de l’affaire et avait contacté l’entreprise pour «obtenir plus d’informations et déterminer les prochaines étapes».
Le bureau du commissaire à la protection de la vie privée de l’Ontario a affirmé avoir été informé de l’incident vendredi et enquêter sur la question.
«Compte tenu de la gravité potentielle de ce cyberincident, notre bureau suit de près la situation», a-t-il écrit dans un courriel.
Bien que les entreprises du secteur privé telles qu’Instructure soient soumises aux lois fédérales sur la protection de la vie privée, les institutions provinciales et municipales de l’Ontario restent responsables de la protection des dossiers et des renseignements personnels dont elles ont la garde «quelle que soit l’entité qui traite les données en leur nom», précise le communiqué.
La violation de données chez Instructure fait suite à la condamnation, en octobre, d’un homme du Massachusetts qui a plaidé coupable de cyber-extorsion à l’encontre de deux entreprises, dont la société de logiciels éducatifs PowerSchool, dans le cadre d’une cyberattaque de 2024 ayant touché des élèves actuels et anciens, des parents et du personnel de certains conseils scolaires aux États-Unis et au Canada.
PowerSchool a déclaré par la suite avoir versé une rançon à l’auteur de la menace et avoir fourni des services de surveillance du crédit et de protection de l’identité aux personnes touchées.
Les organismes de protection de la vie privée de l’Ontario et de l’Alberta ont enquêté sur la violation de PowerSchool et ont conclu dans un rapport publié en novembre dernier que plus de cinq millions de Canadiens avaient été touchés par la cyberattaque et que les conseils scolaires ne disposaient pas de plans d’intervention adéquats, en plus d’autres problèmes.
Les commissaires provinciaux à la protection de la vie privée ont formulé des recommandations dans leurs rapports, notamment que les conseils scolaires réexaminent leurs accords avec PowerSchool, mettent en place des systèmes de surveillance et s’assurent d’instaurer des politiques adéquates en cas de violation.