Une violation de données Plex a exposé des noms d’utilisateur, des adresses e-mail et des mots de passe cryptés. L’ampleur de la faille de sécurité n’est pas encore connue, mais l’entreprise demande à tous les utilisateurs de changer leurs mots de passe.
Le problème a été aggravé par le fait que les serveurs Plex n’avaient pas une capacité suffisante pour faire face au nombre d’utilisateurs qui tentaient de le faire, et une série d’autres problèmes…
Plex a envoyé ce matin un e-mail à tous les utilisateurs pour les informer qu’un tiers a pu accéder à « un sous-ensemble limité de données », mais n’a pas révélé le nombre de comptes concernés.
Nous voulons que vous soyez au courant d’un incident impliquant les informations de votre compte Plex hier. Bien que nous pensons que l’impact réel de cet incident est limité, nous voulons nous assurer que vous disposez des informations et des outils appropriés pour assurer la sécurité de votre compte.
Hier, nous avons découvert une activité suspecte sur l’une de nos bases de données. Nous avons immédiatement lancé une enquête et il semble qu’un tiers ait pu accéder à un sous-ensemble limité de données comprenant des e-mails, des noms d’utilisateur et des mots de passe cryptés. Même si tous les mots de passe de compte auxquels on aurait pu accéder ont été hachés et sécurisés conformément aux meilleures pratiques, par prudence, nous exigeons que tous les comptes Plex aient leur mot de passe réinitialisé. Soyez assuré que les données de carte de crédit et autres données de paiement ne sont pas du tout stockées sur nos serveurs et n’ont pas été vulnérables lors de cet incident.
Nous avons déjà abordé la méthode utilisée par ce tiers pour accéder au système, et nous procédons à des examens supplémentaires pour nous assurer que la sécurité de tous nos systèmes est encore renforcée afin d’empêcher de futures incursions. Bien que les mots de passe des comptes aient été sécurisés conformément aux meilleures pratiques, nous demandons à tous les utilisateurs de Plex de réinitialiser leur mot de passe.
Pour faire court, nous vous prions de réinitialiser immédiatement le mot de passe de votre compte Plex. Ce faisant, il y a une case à cocher pour « Déconnecter les appareils connectés après le changement de mot de passe ». Cela déconnectera par ailleurs tous vos appareils (y compris tout Plex Media Server que vous possédez) et vous obligera à vous reconnecter avec votre nouveau mot de passe. C’est un casse-tête, mais nous vous recommandons de le faire pour plus de sécurité. Nous avons créé un article de support avec des instructions étape par étape sur la façon de réinitialiser votre mot de passe ici.
Au moment de la rédaction, les changements de mot de passe n’étaient pas forcés. Cependant, certains de ceux qui tentent de le faire signalent qu’ils n’ont pas pu le faire.
« Impossible de modifier le mot de passe en raison d’une erreur interne du serveur »
« Je suis allé de l’avant et je me suis connecté à mon compte pour changer mon mot de passe. Le truc, c’est que ça n’a pas marché. J’ai essayé plusieurs fois, mais lorsque je soumets le formulaire de changement de mot de passe, il reste avec une icône en rotation pendant environ 30 secondes, puis j’obtiens « Erreur de serveur interne ». Quelque chose s’est mal passé de notre côté.
« J’obtiens également une réponse d’erreur de serveur interne (500) lorsque j’essaie d’utiliser la fonction de réinitialisation du mot de passe et de me déconnecter de tous les appareils connectés. »
D’autres utilisateurs ont pu changer leur mot de passe, mais rencontrent d’autres difficultés lorsqu’ils se reconnectent. Un certain nombre d’utilisateurs signalent avoir reçu des messages « Non autorisé » ou « Vous n’avez pas accès à ce serveur » pour leurs propres serveurs. Certains signalent un succès lors de la connexion et de la revendication du serveur, bien que d’autres n’aient pas eu de chance avec cela.
Il semble que Plex n’ait pas prévu suffisamment de bande passante supplémentaire pour faire face à la vague de tentatives de changement de mot de passe. De plus, la page de réinitialisation du mot de passe demande le nouveau mot de passe avant de celui existant, qui est évidemment inattendu et peut expliquer certains des échecs.
Plex recommande d’activer l’authentification à deux facteurs dans les paramètres de votre compte. Notez que vous ne pouvez le faire que si vous vous êtes inscrit avec votre adresse e-mail – si vous avez utilisé Google ou un autre compte pour vous inscrire, 2FA n’est pas disponible.
La société a présenté ses excuses pour la violation de données Plex et a déclaré qu’elle revoyait sa sécurité.
Si vous ne parvenez pas à modifier votre mot de passe ou à accéder à votre compte, cela vaut la peine d’attendre quelques heures, puis de réessayer (en supposant que vous utilisiez des mots de passe forts et uniques afin qu’une violation ne permette pas l’accès à l’un de vos autres comptes).
Plex a eu des problèmes pour la dernière fois en avril, lorsqu’une fonctionnalité Universal Watchlist a été trouvée pour fournir aux enfants un moyen de regarder du contenu restreint.
Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :