Quelques jours après avoir révélé une faille critique dans son client, Plex traverse une nouvelle crise : un piratage de sa base de données. La plateforme de streaming multimédia a confirmé qu’un tiers non autorisé avait accédé à une partie des informations de ses utilisateurs.
Quelles données ont été compromises chez Plex ?
Selon Plex, les données exposées incluent : les adresses e-mail, les noms d’utilisateur, et les mots de passe. Ces derniers étaient hachés (chiffrés selon les bonnes pratiques), ce qui empêche un accès direct. Néanmoins, des techniques comme les attaques par brute force ou « rainbow tables » pourraient permettre à un pirate de retrouver les mots de passe les plus faibles.
Bonne nouvelle malgré tout : aucune donnée bancaire (comme les numéros de carte de crédit) n’a été touchée, Plex rappelant qu’il ne stocke pas ce type d’informations.
Que doivent faire les utilisateurs ?
Plex demande à tous ses abonnés de :
- Changer immédiatement leur mot de passe via plex.tv/reset.
- Cocher l’option « Se déconnecter de tous les appareils » lors de la réinitialisation pour forcer une reconnexion partout (TV connectées, navigateurs, applis mobiles, etc.).
- Activer l’authentification à deux facteurs (2FA) pour renforcer la sécurité de leur compte.
Ces précautions visent à bloquer tout accès frauduleux si jamais un compte a déjà été compromis.
La réponse de Plex
L’entreprise affirme avoir identifié et corrigé la faille utilisée par l’attaquant, lancé un audit complet de son infrastructure pour renforcer ses défenses, et rappelé qu’elle ne demandera jamais mot de passe ni carte bancaire par e-mail. Un message officiel a été envoyé aux utilisateurs sous le titre : « Action requise : notification d’un incident de sécurité potentiel ».
Ce piratage survient alors que Plex fait déjà face à des critiques suite à la découverte d’une vulnérabilité critique dans son client. Ces incidents répétés fragilisent la confiance autour de la plateforme, qui promet de renforcer durablement ses systèmes.
