Hier, vous vous êtes peut-être retrouvé avec un mail de Plex commençant par “Nous avons détecté une activité inhabituelle sur votre compte”. Pas de panique, vous n’êtes pas seul car en effet, ce lundi 8 septembre, les 17 millions d’utilisateurs actifs de Plex ont eu le même réveil douloureux.

Plex, si vous ne connaissez pas encore, c’est un super outil qui permet de gérer votre bibliothèque média personnelle et d’accéder à du contenu gratuit. Malheureusement, il y a quelques jours, leurs serveurs ont été à nouveau compromis (la précédente c’était en 2022) et le pirate a réussi à se faufiler et à accéder à une base de données contenant des informations d’authentification.

Dans cette nouvelle attaque, les données exposées incluent donc les adresses email, les noms d’utilisateur et les mots de passe hashés. Plex se veut rassurant et précise que les mots de passe étaient “sécurisés par hachage, conformément aux meilleures pratiques” ce qui est plutôt cool sur le papier, mais qui n’empêche pas que vos données perso soient maintenant entre de mauvaises mains.

Heureusement, nos informations de paiement n’ont pas été compromises car Plex ne stocke pas les données de cartes bancaires sur ses serveurs, ce qui limite les dégâts financiers directs pour les utilisateurs mais du coup, face à cette situation, Plex impose une réinitialisation obligatoire des mots de passe pour tous ses utilisateurs.

Vous devez donc vous rendre sur https://plex.tv/reset pour créer un nouveau mot de passe. L’entreprise recommande vivement d’activer l’option “Déconnecter les appareils connectés après le changement de mot de passe” ce qui signifie que vous devrez ensuite vous reconnecter sur tous vos appareils, y compris votre Plex Media Server. C’est super relou mais c’est un petit prix à payer pour la sécurité.

Et pour ceux qui utilisent la connexion unique (SSO), Plex conseille de se déconnecter de toutes les sessions actives via https://plex.tv/security , puis si vous ne l’avez pas encore fait, c’est vraiment le moment d’activer l’authentification double facteurs.

En tout cas, pour l’instant, on a eu aucuns détails techniques sur la méthode utilisée par le pirate pour récupérer toutes ces données. Plex affirme avoir “corrigé la méthode d’intrusion” mais refuse de partager plus d’informations, du coup, on ne connait pas vraiment l’ampleur du problème et si d’autres services similaires sont vulnérables.

Notez que Plex ne vous demandera jamais votre mot de passe ou vos informations de paiement par email donc si vous recevez ce genre de demande, c’est du phishing. Et si vous utilisez le même mot de passe Plex sur d’autres services (ce qu’il ne faut jamais faire, morbleu !), changez-le partout immédiatement !

Voilà, après cette seconde fuite en trois ans je commence à me poser des questions sur la façon dont ils gèrent leur sécurité. Faut pas oublier qu’il y a plein de gens qui utilisent Plex pour y mettre également leurs vidéos perso, donc je vous laisse imaginer le drame si demain, des cybercriminels pouvaient accéder aux bibliothèques médias des utilisateurs.

Bon courage à tous !

Source

Utilisez-vous l'un de ces mots de passe extrêmement populaires - et éminemment piratables ? Si c'est le cas, nous avons une résolution du Nouvel An pour vous.

Malgré la mise en place un peu partout de l’authentification multifacteur, nous avons besoin de mots de passe efficaces et pratiques pour nos téléphones, courriels, connexion à l’ordi, banque, etc.

Une grande majorité d’entre nous utilise le même mot de passe pour tous les sites web visités, parce qu’avouons-le, c’est beaucoup plus facile d’avoir à se rappeler d’un seul mot de passe, mais avouons-le, cela peut-être très pénalisant.
Le problème, c’est que nous sommes de plus en plus connectés, et donc devenons de plus en plus vulnérables au vol d’identité, aux fraudes, etc..
Raison de plus pour choisir des mots de passe efficaces et en même temps faciles à retenir, mais comment procéder ?

En utilisant une bonne méthode de construction de mot de passe.

One rule to rule them all

Cette règle devra vous permettre d’avoir un mot de passe qui :

1. Soit spécifique au site web auquel il “s’adresse” : 2 sites web ne devraient pas avoir le même mot de passe ;
2. Soit “lié” à vous : 2 personnes suivant la même méthode de construction de mot de passe ne devraient pas arriver au même résultat.

On va donc partir sur 2 choses :

1. le nom du site web pour lequel vous voulez avoir un mot de passe
2. un mot ou une expression qui vous est propre

Libre à vous de trouver une règle à appliquer à votre partie fixe, une règle pour le site web et une manière de combiner les 2.
Par exemple, si Eurédicte Ictor veut s’inscrire sur Le blog du Wis et recherche un mot de passe, il pourrait procéder comme suit :

1. Prendre ces initiales (“E” et “I“)
2. Prendre les 2 premières et les 2 dernières lettres du site (“Le” et “is“) et les retourner (“eL” et “si“)
3. Combiner le tout : EeLIsi

La même règle donne EaYIoo pour Yahoo par exemple, ou EmAIno pour Amazon.

Pourquoi faire simple quand on peut faire compliquer

Ces mots de passe sont déjà suffisamment différents d’un site à l’autre, mais on peut grandement améliorer la complexité de ceux-ci en rajoutant 2 ou 3 choses :

1. Choisir aussi des chiffres dans la partie “personnelle” ;
2. Placer un ou plusieurs caractères non alphabétiques dans le mot de passe ;

On arrive par exemple à EeL#81Isi juste parce que Eurédicte est né en 1981.
Une dernière chose qui peut encore plus complexifier le mot de passe est l’utilisation du leet speak, c’est-à-dire le remplacement de lettre par des combinaisons de chiffres et de ponctuation.

Par exemple, remplacer “I” par “1” ou “E” par “3” ou “D” par “|)“.

Au final, avec la règle de construction suivante :

1. Prendre les initiales de mon prénom et de mon nom (E, I)
2. “leeter” le “E” (3)
3. Prendre les 2 premières et les 2 dernières lettres du site web (Le, is)
4. Les inverser (eL, si)
5. Placer les parties dans cet ordre : Initiale1, Site1, #81, Initiale2, Site2

les mots de passe d’Eurédicte seront :

• Pour Le blog du Wis : 3eL#81Isi
• pour Yahoo: 3aY#81Ioo
• pour Amazon : 3mA#81Ino

Et si Shunn Pol utilise la même méthode qu’Eurédicte, ses mots de passe seront :

• pour Le blog du Wis : 5eL_1985Psi
• pour Yahoo : 5aY_1985Poo
• pour Amazon : 5mA_1985Pno

On remarque que les mots de passe sont différents d’un site à l’autre et d’une personne à l’autre.

On n’est, bien sûr, pas obliger d’aller aussi loin, surtout s’il y a une autre couche de sécurité. Il faut juste choisir une bonne règle de génération en fonction d’une partie fixe et d’une autre changeante afin que vos mots de passe soient le plus efficaces possible.

À voir également : Microsoft 365 : Activer l’authentification Multifacteur (MFA)

L’article Sécurité : Créer facilement des mots de passe efficaces est apparu en premier sur Le Blog du Wis.