Si vous êtes du genre à streamer vos films, séries et playlists depuis votre propre serveur avec Plex, vous avez sans doute reçu un petit mail d’alerte ces derniers jours. Plex vient de corriger une vulnérabilité potentiellement sérieuse dans son Media Server, et ils insistent pour que tout le monde passe à la version la plus récente sans tarder.
Je me base sur l’article de 9to5Mac, mais j’ai aussi creusé dans d’autres sources fiables pour vous donner un tableau plus complet, avec des infos supplémentaires sur cette faille et les bons réflexes à adopter.
Alors, qu’est-ce qui se passe exactement ? Plex a identifié une faille dans les versions 1.41.7.x à 1.42.0.x de son Media Server. Sans entrer dans les détails techniques, parce que l’entreprise reste discrète là-dessus pour ne pas donner d’idées aux pirates, ils ont confirmé que c’était assez grave pour envoyer des notifications directes aux utilisateurs concernés. La bonne nouvelle, c’est que le correctif est déjà là : passez à la version 1.42.1.10060 ou plus récente. Ça se fait en deux temps trois mouvements, soit via l’interface d’administration de votre serveur, soit en téléchargeant le fichier sur le site officiel de Plex. Ces alertes ont commencé à arriver jeudi dernier, juste après que Plex ait discrètement déployé la mise à jour quatre jours plus tôt.
Le rapport est venu de leur programme de bug bounty, ce qui montre que Plex prend la sécurité au sérieux en récompensant les chercheurs qui dénichent ces problèmes avant qu’ils ne fassent des dégâts. Pour l’instant, pas de numéro CVE assigné, et pas d’explications précises sur ce qui pouvait être exploité, probablement pour éviter que des malintentionnés ne s’en servent. Mais quand une entreprise comme Plex envoie des mails urgents, c’est qu’il y a une raison valable, surtout vu l’historique.
Parlons justement de cet historique. Plex n’en est pas à sa première alerte. En mars 2023, la CISA (l’agence américaine de cybersécurité) avait signalé l’exploitation active d’une ancienne faille RCE (Remote Code Execution) datant de 2020, connue sous le nom CVE-2020-5741. Cette vulnérabilité avait permis des attaques à distance et avait même été utilisée dans le piratage de LastPass en 2022. Plus loin encore, en 2018, des chercheurs de SEC Consult avaient révélé plusieurs failles, dont des attaques XXE qui donnaient accès à des fichiers système et des élévations de privilèges.
Au-delà de cette faille spécifique, ça vaut le coup de rappeler quelques bonnes pratiques pour sécuriser votre setup Plex. D’abord, activez l’authentification à deux facteurs sur votre compte Plex, et limitez les accès externes si possible. Utilisez un VPN pour les connexions distantes, et vérifiez régulièrement les logs de votre serveur pour repérer toute activité suspecte.
Il faut savoir que Plex est souvent et facilement détecté sur les réseaux domestiques (réseau local), ce qui en fait une cible potentielle pour les scans automatisés des pirates. Et n’oubliez pas : même si votre serveur tourne sur un NAS ou un PC dédié, une mise à jour régulière est votre meilleure défense contre les menaces évolutives.
