Mauvaise nouvelle pour les utilisateurs de Plex : un pirate est parvenu à accéder à une base de données contenant des informations sensibles sur les utilisateurs. Vous devez réinitialiser votre mot de passe en urgence. Voici ce que l’on sait.
Les pirates ont mis la main sur les hash des mots de passe
Par l’intermédiaire d’une notification officielle, Plex a confirmé un nouvel incident de sécurité : “Un tiers non autorisé a accédé à un sous-ensemble limité de données relatives aux clients de l’une de nos bases de données.”
Le problème, c’est que cette base de données contient des informations sensibles telles que les noms d’utilisateur, les adresses e-mail, ainsi que les mots de passe. Il ne s’agit pas des mots de passe en clair, mais des hash de ces derniers. Pour rappel, un hash de mot de passe, c’est une version transformée et illisible d’un mot de passe générée à l’aide d’un algorithme qui permet de le vérifier sans jamais stocker le mot de passe en clair.
“Les mots de passe des comptes qui ont pu être consultés ont été hachés de manière sécurisée, conformément aux meilleures pratiques, ce qui signifie qu’ils ne peuvent pas être lus par un tiers.”, précise Plex.
Ici, Plex ne donne pas de détails sur l’algorithme de hachage utilisé, donc la possibilité que les attaquants tentent de déchiffrer les mots de passe ne peut être écartée. Dans ce cas-là, on peut s’attendre à ce qu’ils parviennent à découvrir les mots de passe des utilisateurs.
La bonne nouvelle, si l’on peut dire, est que Plex affirme ne pas stocker les informations de cartes de paiement sur ses serveurs, et qu’aucune donnée de ce type n’a donc été compromise.
La recommandation : changez votre mot de passe
Sans surprise, Plex recommande fortement à ses utilisateurs d’agir dès que possible pour réinitialiser leur mot de passe.
Rendez-vous sur la page dédiée à l’adresse suivante : https://plex.tv/reset. Lors de la réinitialisation du mot de passe, cochez l’option “Sign out connected devices after password change”, cela forcera une nouvelle connexion sur l’ensemble de vos appareils, y compris votre serveur Plex Media. En complément, vous pouvez renforcer la sécurité de votre compte en configurant l’authentification à deux facteurs (2FA).
Pour ceux qui se connectent via l’authentification unique (SSO), Plex conseille également de se déconnecter de toutes les sessions actives en visitant https://plex.tv/security et en cliquant sur le bouton “Sign out of all devices”.
“Nous avons déjà résolu la question de la méthode utilisée par ce tiers pour accéder au système, et nous procédons à des examens supplémentaires pour nous assurer que la sécurité de tous nos systèmes est encore renforcée afin de prévenir de futures attaques.”, précise Plex.
Ce n’est malheureusement pas la première fois que Plex est confronté à un incident de sécurité mettant en péril les mots de passe des utilisateurs… En août 2022, la plateforme avait déjà subi une fuite de données presque identique, où les hash des mots de passe avaient été exposés également.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.