Plex a encore été piraté, changez vite votre mot de passe !
Une fois de plus, le populaire logiciel de gestion multimédia a été victime d'une faille de sécurité. Et, cette fois, les pirates sont parvenus à s'emparer des mots de passe ! Les utilisateurs doivent les changer sans délai.
Plex, le puissant lecteur multimédia et service de streaming qui compte quelque 20 millions d'utilisateurs dans le monde, a été victime d'une cvberattaque. Pour rappel, il s'agit d'une plateforme accessible sur ordinateur, sur mobile – via une application – et sur TV connecté, qui permet de diffuser divers contenus – vidéo, audio, photo – partagés par ses membres et de regarder des contenus en streaming pour les abonnés ayant un compte payant.
Si ce n'est pas la première fois qu'elle est piratée – en août 2022 déjà, elle avait été victime d'une intrusion dans l'une de ses bases de données (voir notre article) –, le cybercriminel est cette fois parvenu à mettre la main sur des informations particulièrement sensibles. Dans un avertissement publié sur son site Web, l'entreprise explique ainsi qu'un "tiers non autorisé" a pu consulter "un sous-ensemble limité de données clients", comprenant des e-mails, des noms d'utilisateur, des données d'authentification, et, surtout, des mots de passe.
Piratage Plex : jamais deux sans trois ?
Bien évidemment, comme à chaque fois qu'une plateforme est victime d'une cyberattaque, Plex s'est voulu rassurant. "Tous les mots de passe des comptes concernés ont été hachés de manière sécurisée, conformément aux meilleures pratiques. Cela signifie qu'aucun tiers ne peut les lire en clair", souligne-t-il. Ils ne devraient donc pas, en théorie, pouvoir être exploités. L'entreprise assure également que les informations de paiement et les cartes bancaires n'ont pas été comprises, étant donné qu'elles étaient stockées sur d'autres serveurs, et qu'elle a corrigé la faille de sécurité.
Mais le danger n'est pas nul pour autant ! En effet, les pirates peuvent parvenir à compromettre un compte en partant d'un mot de passe haché. Par exemple, ils peuvent réaliser des attaques par force brute, en testant massivement des mots de passe courants ou probables contre les empreintes hachées – surtout si les utilisateurs choisissent des mots de passe faibles. Un hachage sécurisé complique donc énormément l'exploitation directe, mais des mots de passe faibles ou réutilisés ailleurs restent exploitables.
Par mesure de précaution, tous les utilisateurs – surtout ceux possédant un Plex Pass – sont invités à immédiatement se déconnecter de tous les appareils utilisés et à changer leur mot de passe – ainsi que pour les autres plateformes qui utilisent les mêmes identifiants.
Pour lancer la réinitialisation, il faut se rendre sur le site web de Plex, à l'adresse https://plex.tv/reset. Il est aussi vivement recommandé de cocher la case qui va "Déconnecter les appareils connectés après le changement de mot de passe" et d'activer la double authentification.
Enfin, rappelons que la société ne demandera jamais les identifiants, mots de passe ou un numéro de carte de crédit à un utilisateur – le vol de données permettant aux hackers de réaliser ensuite une campagne de phishing afin d'obtenir des coordonnées bancaires. Espérons qu'il s'agisse de la dernière attaque et que le dicton "Jamais deux sans trois" ne se vérifie pas. Et, pour cela, il va falloir que Plex comble les faiblesses persistantes dans l'architecture de sécurité de la plateforme.