Fuite chez Plex
Le 9 septembre 2025, l'éditeur de logiciels de streaming Plex a révélé qu'un tiers non autorisé avait accédé à l'une de ses bases de données, exposant les adresses e-mail, noms d'utilisateur, mots de passe hachés et données d'authentification, et imposant une réinitialisation générale des mots de passe.
- Victime
- Plex
Le 9 septembre 2025, Plex — l'entreprise à l'origine du logiciel de streaming et de serveur multimédia Plex, très largement utilisé — a averti ses utilisateurs qu'un tiers non autorisé avait accédé à un sous-ensemble limité de données clients dans l'une de ses bases de données. L'entreprise a invité tous les comptes utilisant un mot de passe à réinitialiser leurs identifiants immédiatement.
Selon Plex, l'intrus a atteint des enregistrements de comptes avant que l'accès ne soit détecté puis bloqué. L'entreprise indique avoir identifié et corrigé la méthode utilisée par l'attaquant, et décrit les données concernées comme un sous-ensemble limité d'une seule base de données. Aucune information de carte bancaire n'est concernée, Plex ne stockant pas ces données sur les systèmes affectés.
Les catégories de données exposées comprenaient :
- Adresses e-mail
- Noms d'utilisateur
- Mots de passe (présentés comme hachés de manière sécurisée, conformément aux bonnes pratiques)
- Données d'authentification
Plex n'ayant pas précisé l'algorithme de hachage protégeant les mots de passe, des chercheurs ont averti que des attaquants déterminés pourraient malgré tout tenter de les casser. Plex a invité ses utilisateurs à réinitialiser leur mot de passe sur plex.tv/reset, à cocher l'option de déconnexion des appareils connectés après le changement, et a fortement recommandé l'activation de l'authentification à deux facteurs. Cet incident constituait la deuxième fuite de données de comptes similaires divulguée par Plex, après une exposition comparable d'e-mails, de noms d'utilisateur et de mots de passe hachés en 2022.
Sources
- techcrunch.comhttps://techcrunch.com/2025/09/09/plex-urges-users-to-change-passwords-after-data-breach/
- bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/plex-tells-users-to-reset-passwords-after-new-data-breach/
- theregister.comhttps://www.theregister.com/2025/09/09/plex_breach/
- helpnetsecurity.comhttps://www.helpnetsecurity.com/2025/09/09/plex-tells-users-to-change-passwords-due-to-data-breach-pushes-server-owners-to-upgrade/