Une cyberattaque a mis fin à la fête académique de fin d'année dans les universités et écoles des États-Unis, du Canada et de l'Australie, grâce au groupe de hackers ShinyHunters. Le groupe a revendiqué la responsabilité d'avoir fait tomber Canvas, le logiciel académique appartenant à Instructure et utilisé par des milliers d'établissements, semant le chaos alors que les étudiants tentaient de prouver qu'ils avaient appris quelque chose ce semestre.

Jeudi soir, Instructure a publié une mise à jour indiquant que Canvas était « disponible pour la plupart des utilisateurs », mais certaines universités signalaient encore des pannes vendredi. L'attaque a touché environ 9 000 établissements dans le monde. L'Université d'État du Mississippi a reporté les examens finaux de vendredi pour donner aux étudiants concernés une chance de récupérer leur travail perdu – une décision qui a probablement fait d'elle l'université la plus populaire d'Amérique pendant environ cinq minutes.

Aubrey Palmer, étudiante en météorologie à Mississippi State, a déclaré à la BBC qu'elle venait de terminer un essai d'examen de 2 900 mots lorsqu'une note de rançon est apparue sur son écran. Le message disait : « Shiny Hunters a infiltré Instructure (encore). » Il menaçait de divulguer des données volées à moins que Canvas ou les universités concernées ne paient une rançon en bitcoins. La première pensée de Palmer a été qu'elle avait été piratée personnellement, mais elle a réalisé que toute la salle d'étudiants et son professeur avaient reçu le même message. La frustration s'est rapidement propagée, Palmer étant « tellement en colère à l'idée de devoir refaire » son examen – un sentiment qui a probablement résonné chez quiconque a déjà écrit un essai de 2 900 mots.

L'Université de Sydney a informé les étudiants vendredi que « Canvas était indisponible » et leur a demandé de ne pas tenter de se connecter, reconnaissant qu'ils faisaient partie des quelque 9 000 établissements touchés et attendant des conseils d'Instructure. L'Université d'État de l'Idaho a annulé les examens prévus après 12h00 heure locale (18h00 GMT) jeudi. L'Université d'État de Pennsylvanie a informé les étudiants que « personne n'a accès » à Canvas et qu'une résolution était peu probable dans les 24 heures, annulant certains examens. L'Université de la Colombie-Britannique à Vancouver a informé les étudiants que Canvas était « indisponible en raison d'une cyberattaque de sa société mère Instructure » et leur a conseillé de se déconnecter immédiatement. L'Université de Toronto a signalé avoir été touchée, affirmant que « plusieurs universités étaient affectées ». Les étudiants de l'UCLA ont eu du mal à soumettre leurs devoirs, et l'Université de Chicago a temporairement désactivé sa page Canvas après des signalements de ciblage.

Le Chicago Maroon a publié une capture d'écran d'un message de ShinyHunters demandant une rançon, encourageant l'université à contacter le groupe en privé « pour négocier un règlement » et éviter la divulgation de données. Jacques Abou-Rizk, étudiant en master à l'Université Northwestern, a reçu le même message en cliquant sur un lien dans un e-mail qui semblait provenir d'un administrateur universitaire. « Je ne savais pas ce qui se passait », se souvient Abou-Rizk. « C'est un message effrayant à recevoir. » L'université a envoyé un e-mail générique disant qu'elle « surveillait un problème » et n'avait pas de temps de restauration estimé pour Canvas. Abou-Rizk a déclaré qu'il était toujours incapable d'accéder à Canvas vendredi et n'avait pas eu de nouvelles de l'université depuis, exprimant son anxiété quant à la fin de son travail et ne sachant pas quelles données pourraient être divulguées.

ShinyHunters a été lié à des attaques très médiatisées précédentes, notamment un piratage majeur chez Jaguar Land Rover l'année dernière. Luke Connolly, analyste des menaces chez la société de cybersécurité Emisoft, a déclaré à l'Associated Press que des captures d'écran montrent que les menaces ciblées ont commencé dimanche, avec des délais fixés à jeudi et au 12 mai, et que des discussions concernant des paiements d'extorsion pourraient être en cours. Le groupe n'a pas dit ce qu'il prévoit de faire avec les données qu'il prétend avoir prises.

Les cyberattaques sont survenues le même jour où le principal sénateur démocrate américain Chuck Schumer a envoyé une lettre à l'administration Trump exhortant à une meilleure défense contre les risques cybernétiques à l'ère de l'IA en développement rapide. Le Département de la Sécurité intérieure « doit immédiatement aider les États et les localités », a écrit Schumer, « avant que l'Amérique »