La plateforme de streaming Plex fait lobjet dune importante fuite de donnes. Noms dutilisateurs, adresses e-mail et mots de passe sont compromis, selon un message que le service a envoy ses utilisateurs. Dans un mail, la plateforme explique qu’un tiers aurait t en mesure d’accder, de manire limite seulement, sa base de donnes, mais recommande tous les usagers de prendre leurs prcautions en changeant de mot de passe. L’e-mail indiquait galement qu’aucun dtail de carte de paiement n’tait stock dans la base de donnes consulte et n’tait donc pas affect par la violation.

Plex est un service multimdia de streaming amricain et une plateforme de lecteur multimdia client-serveur, dveloppe par Plex, Inc. Le Plex Media Server organise la vido, l’audio et les photos partir des collections d’un utilisateur et des services en ligne, et les diffuse vers les lecteurs. Les clients officiels et les clients tiers non officiels s’excutent sur des appareils mobiles, des tlviseurs connects, des botiers de diffusion en continu et des applications Web. En clair, Plex permet notamment de lire vos photos et vos vidos depuis votre ordinateur vers tout appareil reli au mme rseau local. Cela en fait donc un client particulirement utile pour les possesseurs de NAS, mais aussi pour ceux qui ont juste envie de partager leurs fichiers entre leurs diffrents appareils la maison en profitant d’une solution oriente multimdia.

La plateforme multimdia de streaming a dclar mercredi qu’elle avait t pirate par des intrus qui avaient russi accder une base de donnes propritaire et drober des donnes comprenant des mots de passe, des noms d’utilisateur et des e-mails appartenant au moins la moiti de ses 30 millions de clients.

Hier, nous avons dcouvert une activit suspecte sur l’une de nos bases de donnes , ont crit des responsables de l’entreprise dans un e-mail envoy aux clients. Nous avons immdiatement lanc une enqute et il semble qu’un tiers ait pu accder un sous-ensemble limit de donnes comprenant des e-mails, des noms d’utilisateur et des mots de passe chiffrs .

L’e-mail indiquait que les mots de passe taient hachs et scuriss conformment aux meilleures pratiques , ce qui signifie que les attaquants sont obligs de consacrer des ressources supplmentaires pour dchiffrer les hachages et les ramener leur tat en clair. Un porte-parole de Plex a dclar que les mots de passe taient hachs l’aide de bcrypt, qui applique automatiquement ce que l’on appelle le salage et le poivre cryptographiques pour rendre le dchiffrement plus difficile.

Le salage est une mthode permettant de renforcer la scurit des informations qui sont destines tre haches (par exemple des mots de passe) en y ajoutant une donne supplmentaire afin dempcher que deux informations identiques ne conduisent la mme empreinte (la rsultante dune fonction de hachage). Le but du salage est de lutter contre les attaques par analyse frquentielle, les attaques utilisant des rainbow tables, les attaques par dictionnaire et les attaques par force brute. Pour ces deux dernires attaques, le salage est efficace quand le sel utilis nest pas connu de lattaquant ou lorsque lattaque vise un nombre important de donnes haches toutes sales diffremment. Les rainbow tables, pour leur part, peuvent tre utilises pour assigner des valeurs de hachage trouves dans une base de donnes leurs mots de passe en texte clair. En effet, les rainbow tables, dont certaines peuvent avoir une taille de plusieurs centaines de giga-octets, contiennent des mots de passe et leurs valeurs de hachage conformment lalgorithme de chiffrement utilis. Notons que certaines chanes sont crs partir desquelles les valeurs relles peuvent tre facilement calcules, rduisant ainsi les besoins en mmoire des tables encore trs grandes.

Le poivre quant lui est un processus cryptographique qui consiste ajouter une chane de caractres secrte et alatoire un mot de passe avant qu’il ne soit sal et hach pour le rendre plus sr. La chane de caractres ajoute au mot de passe s’appelle un poivre. Le poivre change le hachage d’un mot de passe et l’immunise contre attaques par force brute et craquage de mots de passe l’aide de tables de dictionnaire et des rainbow tables.

Par prudence, la socit demande nanmoins tous les clients de rinitialiser leurs mots de passe. Pour faire bonne mesure, la socit conseille de se dconnecter de tous les appareils connects aprs le changement de mot de passe, puis de se reconnecter. En parallle, Plex recommande aussi dactiver la double authentification pour scuriser encore mieux votre compte.

blank

Le groupe se veut toutefois rassurant sur certains points : non seulement la faille exploite par lattaquant potentiel a t comble, mais aucune information bancaire na t impacte par cette potentielle intrusion. Plex explique en effet que ces dernires sont stockes sur un autre serveur que celui ayant t vis ce mardi.

Plusieurs personnes ont signal avoir eu des difficults se connecter leurs comptes mercredi matin. Le chercheur en scurit Troy Hunt a publi une capture d’cran des erreurs qu’il a reues en essayant de se connecter son compte.

blank

Un porte-parole de Plex a dclar que la socit comptait plus de 30 millions d’utilisateurs enregistrs et que la majorit d’entre eux taient touchs par la violation. La notification de mercredi indique que les responsables de l’entreprise ont dj dcouvert les moyens utiliss par les intrus pour accder la base de donnes et l’ont corrig. Les ingnieurs continuent d’effectuer des examens supplmentaires pour viter que des violations similaires ne se reproduisent.

blank Instructions pour procder la rinitialisation des mots de passe

blank Instructions pour procder l’activation de la double authentification

Source : Plex

Et vous ?

blank tes-vous un client de Plex ou d’une solution concurrente ? Qu’en pensez-vous ?

blank Si vous tes un client de Plex, tes-vous l’une des victimes de ce piratage ?

blank De manire gnrale, activez-vous l’authentification deux facteurs sur des services comme celui-ci ou rservez-vous ce type d’authentification pour des services hautement plus sensibles comme les services bancaires ? Pourquoi ?

Plex impose la rinitialisation du mot de passe aprs que les pirates ont vol les donnes de plus de 15 millions d’utilisateurs. Noms d’utilisateurs, adresses email et mots de passe sont compromis