Si vous utilisez un serveur Plex pour gérer votre collection de films et de séries, une mise à jour s'impose de toute urgence. L'entreprise a envoyé la semaine dernière un e-mail à ses utilisateurs pour les alerter d'une "faille de sécurité potentielle" jugée sérieuse, et les presse d'installer le dernier correctif.
Une faille mystérieuse, mais jugée "sérieuse"
L'alerte a été envoyée aux utilisateurs dont le serveur Plex Media Server tourne sur une version comprise entre la 1.41.7.x et la 1.42.0.x. Pour l'instant, l'entreprise reste très discrète sur la nature exacte de la vulnérabilité.
Aucun détail technique n'a été communiqué et aucun identifiant CVE (le standard pour répertorier les failles) n'a été assigné. Mais voilà, le fait que Plex ait pris la peine d'envoyer un e-mail d'alerte directement à ses utilisateurs, une pratique très rare de sa part, suggère que la faille est particulièrement critique.
Le souvenir du piratage de LastPass
Cette prudence n'est pas sans rappeler un précédent fâcheux. En 2022, le piratage massif du gestionnaire de mots de passe LastPass avait commencé par une porte d'entrée inattendue : les pirates avaient exploité une faille de sécurité non corrigée sur le serveur Plex personnel d'un des ingénieurs de l'entreprise.
C’est une piqûre de rappel : un serveur multimédia personnel mal sécurisé peut servir de point d'entrée pour des attaques bien plus vastes.
Comment se protéger ? La mise à jour est essentielle
Plex a déjà publié un correctif. Il est donc impératif pour tous les utilisateurs de mettre à jour leur Plex Media Server vers la version 1.42.1.10060 (ou une version ultérieure) le plus rapidement possible.
La mise à jour peut se faire directement depuis l'interface de gestion de votre serveur. L'urgence est réelle : maintenant que le correctif est public, des pirates vont activement chercher à comprendre la faille pour l'exploiter sur les serveurs qui n'ont pas encore été mis à jour.
On en dit quoi ?
Le point positif dans cette affaire est que là aussi, le processus de "divulgation responsable" a bien fonctionné. La faille a été découverte par un chercheur via le programme de "bug bounty" de Plex, ce qui a permis à l'entreprise de développer un correctif avant que la vulnérabilité ne soit exploitée massivement.
Cette histoire est cependant un rappel important pour tous ceux qui auto-hébergent des services. La liberté et le contrôle de ses propres données ont une contrepartie : la responsabilité d'en assurer la sécurité. Contrairement aux services cloud où les mises à jour sont gérées pour vous, un serveur personnel doit être maintenu scrupuleusement. L'exemple de LastPass montre qu'un seul service non patché peut avoir des conséquences dramatiques. Et vous, vous utilisez Plex ou un service similaire, ou vous êtes plutôt 100% streaming via les plateformes comme Netflix ou Prime Video ?
