1

Plex et la confidentialité de vos données

Le principe antédiluvien du Client-Serveur

Plex est un service de streaming multimédia basé sur le principe du Client-Serveur comme Netflix, Disney+ ou Spotify (ou n’importe lequel des 2 milliards de sites web) : le client envoie des requêtes et le serveur attend les requêtes et y répond. En contrepartie, le serveur a accès à beaucoup d’informations sur le client qui utilise le service. On parle d’architecture centralisée.

Jusque-là rien de nouveau sous le soleil donc. Rappel : au milieu des années 90, lorsqu’on accédait (nous les clients) aux premiers sites web (les serveurs), les propriétaires des serveurs avaient, dans les logs, votre adresse IP, votre géolocalisation précise, votre navigateur et sa version, votre système d’exploitation et sa version, votre résolution d’écran ainsi que moult informations très indiscrètes en nombre suffisant pour vous identifier sans erreur possible et de manière unique sur la planète. C’était il y a 30 ans 😉

Avant d’aller plus loin, vous pouvez consulter la politique de confidentialité de Plex.

Qu’est ce que Plex sait de moi ?

Difficile à dire. Il faudrait faire de l’analyse de trames pour savoir ce que Plex envoie continuellement mais la guêpe n’est pas folle : tout est crypté de bout en bout. Disons qu’il y a, en gros, 5 types d’informations dans Plex (de plus en plus compliquées à obtenir) :

  1. Type 1 : Ce que Plex affiche publiquement à tous les clients (exemple : le nombre de vidéos d’une librairie).
  2. Type 2 : Ce que Plex affiche uniquement à un client particulier (exemple : votre historique, votre watchlist, vos notes, vos coups de cœur, les suggestions personnalisées…).
  3. Type 3 : Ce que Plex affiche uniquement sur le serveur (données accessibles par l’administrateur, invisibles des autres utilisateurs).
  4. Type 4 : Ce que Plex a bel et bien dans sa base de données mais n’affiche nulle part (exemple : les données affichées par Tautulli).
  5. Type 5 : Enfin, ce que Plex n’a pas dans sa base de données locale mais envoie quand même aux serveurs Plex (en scred).

Les données de types 1, 2, 3 et 4 sont dans la base de données de Plex. On peut donc les consulter même si elles ne sont pas affichées dans Plex. Les données de type 5 sont secrètes et connues uniquement de Plex.

Qu’est ce que l’administrateur du serveur Plex sait de moi ?

L’administrateur d’un serveur Plex a accès aux données :

  • De types 1 et 2 (vous les connaissez, ce sont les vôtres).
  • De type 3 (des logs très exhaustifs côté serveur).
  • De type 4 (des données cachées nativement dans Plex, mais accessibles sans trop de difficultés).

Les données de type 5 sont inconnues du public.

Préambule (on va pas se mentir entre nous, hein)

A l’instar des services de SVOD comme Netflix ou Disney+ (mais on pourrait en dire autant de Enedis et son compteur intelligent, de votre fournisseur Internet, des personnes qui roulent en Tesla ou de toute personne disposant d’un smartphone, d’une smart TV ou d’une enceinte connectée), Plex en sait un rayon sur vous. A ce niveau, c’est d’ailleurs plus un rayon mais un drugstore de 10.000m² sur 4 étages méticuleusement archivé et indexé.

La différence avec les autres services, c’est que Plex s’engage à ne pas vendre vos données. Netflix et les services payants les revendent sans honte et le disent. Quant à Google, il vit de vos données donc…

Attention, le fait de ne pas vendre vos données n’empêche pas d’en collecter un maximum pour son propre usage et énumérer la liste des données collectées par Plex serait bien fastidieux. Par quelques exemples, disons simplement que :

  • Plex a votre adresse IP et votre géolocalisation à chaque connexion.
  • Plex sait combien de fois vous avez écouté une chanson ou une vidéo (compteurs).
  • Plex sait à la seconde près où vous vous êtes arrêté.e (pour pouvoir reprendre la lecture plus tard).
  • Plex enregistre quand vous zappez une chanson d’un album (il aura tendance à moins vous la proposer) ou quand vous ne regardez pas un film jusqu’au bout.
  • Quand vous mettez en pause une vidéo ou une chanson, un autre compteur s’active et Plex sait combien de temps a duré la pause. Pareil si vous revenez en arrière pour ré-écouter ou revoir les 30 dernières secondes.

Ça donne une idée. Ce sont quelques-unes des données recueillies par Plex et accessibles uniquement sur le serveur (par l’administrateur), les fameuses données de type 3. Les données de type 4 sont abordées plus bas avec Tautulli (qui va plus loin que Plex) et les données de type 5 (tout ce que Plex envoie secrètement à l’insu des utilisateurs ET de l’administrateur sans communiquer dessus) sont secrètes et connues uniquement de Plex.

Le degré 1 de l’information : Plex Discover et la polémique des nouvelles fonctionnalités depuis août 2022 (accessible aux utilisateurs)

Depuis août 2002, Plex a activé en beta le Discover sur tous les comptes Plex disposant d’un Plex Pass (moi) et sur tous ses amis (vous). Le Discover est un ensemble de fonctionnalités qui tendent à rendre publiques des données auxquelles vous seul.e aviez accès jusque-là.

Alors deux particularités WTF dès le début :

  • Lorsque vous activez le Discover (parce que Plex vous demande quand même), il est impossible de faire retour arrière et de le désactiver !
  • Si vous refusez de l’activer, Plex vous redemandera jusqu’à 10 fois par jour jusqu’à obtenir votre accord.

Le Discover a ajouté quelques options dont tout le monde s’est moqué à l’époque (comme la configuration directement dans Plex de vos services de streaming payants tels que Netflix ou Amazon) mais aussi d’autres fonctionnalités qui ont fait un sérieux bad buzz :

  • La liste de vos vidéos vues est dorénavant partagées avec vos amis Plex.
  • Votre watchlist (liste de vos souhaits) est également partagée (toujours uniquement avec vos amis Plex).
  • Les notes que vous avez mises aux vidéos (pas aux musiques) sont partagées.

Toutes ces infos étaient déjà accessibles côté Serveur (par l’administrateur du serveur donc). Maintenant elles le sont aussi pour vos amis Plex.

Plex – Mail hebdomadaire que reçoivent les utilisateurs ayant rejoint le Discover : des suggestions en fonction de ce que regardent vos amis
Plex – Profil Discover d’un ami (Historique, Watchlist et Notes)

Le degré 2 de l’information : Exemples de données affichées côté Serveur par Plex

En natif, Plex affiche des données statistiques mais très vite, on se sent à l’étroit. L’achat d’un Plex Pass pour l’administrateur du serveur permet de débloquer certaines statistiques mais ce n’est toujours pas la panacée et on en fait très vite le tour :

Plex – Tableau de bord
Plex – Top des utilisateurs
Plex – Top des lectures
Plex – Historique de lecture pour un utilisateur
Plex – Historique de lecture (liste complète SANS moteur de recherche)

A travers ces 5 captures d’écran, on a à peu près fait le tour complet des statistiques Plex et de leurs fonctionnalités. C’est très light. Dans le style totalement inutilisable, je vous laisse admirer l’historique exhaustif de streaming avec 24K+ entrées SANS aucun moteur de recherche 🙂

Le degré 3 de l’information : Pour aller plus loin dans les statistiques, Plex Dash et Tautulli

Plex Dash est une petite application Android gratuite qui s’interface avec un serveur Plex. Elle n’apporte strictement rien de plus au niveau des données, si ce n’est une option sympa qu’on ne retrouve pas dans Plex (ni nulle part à ma connaissance) : l’affichage total des volumes de vos librairies (ici floutés). C’est tout ! Il y a des onglets, des options, des détails et des préférences en tout genre mais Plex Dash ne sert à rien d’autre.

Plex Dash

Avec Tautulli, on passe deux vitesses d’un coup au niveau de l’embrayage. Tautulli extrait les statistiques de Plex et les affiche (en nettement mieux). Il sort aussi des statistiques qui ne sont pas affichées dans Plex (mais qui sont pourtant dans sa base de données, les fameuses données de type 4). Tautulli est complètement indispensable. Mieux qu’un long discours, la présentation officielle de Tautulli (traduction automatique) :

Quelques fonctionnalités de Tautulli (contrairement à Plex, impossible de tout résumer en 5 images) :

Tautulli – Détail d’un stream (bien plus précis que Plex, très utile pour analyser le transcode)
Tautulli – Tableau de bord qui renvoie Plex très très loin
Tautulli – Graphiques divers

Autres fonctionnalités uniques et absolument indispensables de Tautulli :

  • Tautulli a un moteur de recherche (lui) sur l’historique de visionnage et des filtres partout.
  • Il permet à l’administrateur d’être notifié (mail, SMS, Slack, Facebook, Twitter, Discord…) à la moindre action ou dysfonctionnement sur le serveur (ça peut aller jusqu’au fait qu’un utilisateur met en pause une vidéo). Une véritable canonisation en règle 🙂
  • Mettre des vignettes personnalisées sur les utilisateurs (et changer leurs noms).
  • Trier les fichiers des librairies par taille (bizarrement impossible avec Plex).
  • Voir en 1 clic qui a streamé quoi, quel est le plus gros consommateur par librairie sur une période donnée ou encore quel média est le plus consommé.
  • Voir qui transcode, qui regarde du 4K sans aucun souci

Sur une échelle de zéro à 10, si Tautulli vaut 10 en matière de statistiques, on ne peut guère mettre plus de 2.5 à Plex.

Le degré 4 de l’information : Pour aller encore plus loin, attaquer directement les bases de données SQL de Plex et Tautulli et piocher dans les données cachées

La base de données de Plex est en SQL. On peut l’ouvrir avec un client SQLite comme DB Browser for SQLite. Pour savoir où se trouve la base de données Plex (selon le système). Le reste est un jeu d’enfant.

Idem pour Tautulli : fichier tautulli.db.

Le degré 5 de l’information : Vers l’infini et au-delà ! Construisez vos propres statistiques sur mesure et au pixel près

Maintenant, on va mixer plusieurs sources de données sur le serveur Plex :

  1. Accès brut à la base de données SQL de Plex (voir partie d’avant)
  2. Accès brut à la base de données SQL de Tautulli (voir partie d’avant)
  3. Accès au File System du serveur (par HW Info Pro)
  4. Accès au Hardware du serveur (par HW Info Pro)
  5. Accès aux processus du serveur (par HW Info Pro)

Ces données sont envoyées en temps réel et compilées dans un Google Sheets. Le temps pour PHP d’accéder au fichier partagé. Le langage parse ensuite les données et génère une image à la volée avec la librairie GD. Ca peut donner ça, ou ce qui vous passe par la tête (PS : soyez accompagné.e d’un graphiste de métier pour éviter les trucs moches comme moi) :

Image en Temps Réel : les statistiques sont toujours à jour.

Techniquement, à ce stade, on tout peut imaginer :

  • Toutes sortes de requêtes complètement WTF ou claquées au sol comme :
    • La liste des films d’action visionnés après 23h (heure du client) et uniquement le dimanche qui ont déclenché le plus de minutes de pause cumulée au cours des 3 derniers mois.
    • La liste de vos amis qui ont streamé au cours des 30 derniers jours ET dans un rayon de 250km autour de vous.
    • La liste des maisons de disques qui ont suscité le plus de zap/next chez les auditeurs sur les styles musicaux Celtic Métal et Viking Métal écoutés par des filles (pas les gars).
    • La liste des médias qui ont été streamés les jours impairs alors qu’il y avait déjà au moins 2 diffusions simultanées + un processeur serveur à au moins 70%.
    • La liste des streams qui ont fait monter la température du processeur à plus de 70°C au cours de juillet et août.
  • Toutes sortes d’applications comme une page web qui afficherait en temps réel :
    • Un résumé des librairies Plex
    • Les streams en cours avec floutage automatique des vignettes
    • L’état du serveur (on/off/busy/overload…)
    • La bande passante (utilisée et disponible)
    • La température et l’état du processeur
    • Les accès disques

Si on ajoute des données météo au Google Sheets, possibilité de sortir les musiques les plus écoutées par temps de pluie. Si on ajoute les événements politiques français majeurs de 2022, on constatera que les 10 et 24 avril sont aussi les jours où il y a eu le plus de streaming. Si on ajoute vos anniversaires et les jours fériés, possibilité de savoir ce que vous streamez en particulier le jour de votre anniversaire ou le soir de Noël, quelle musique vous écoutez pour le nouvel an. Si on ajoute la programmation télé sur 1 an, possibilité de comparer le stream de Plex en fonction du programme télé du soir…

Conclusion : vos données personnelles, c’est de l’or en barre !

Le maître incontesté en matière de données privées c’est naturellement Google et son écosystème omniprésent qui en vit (grassement) depuis 2 décennies. Dès que vous utilisez régulièrement un service en ligne, vous devez vous poser la question de ce qui est fait de vos données privées.

Par exemple, juste avec 15 minutes de données par jour sans même les croiser avec une autre base, et si vous écoutez de la musique le matin en allant au boulot dans la voiture ou en bus avec PlexAmp (que je recommande chaudement), Plex est en mesure de savoir si vous êtes en retard ou si vous n’allez pas au boulot aujourd’hui. Google fait la même chose mais il a accès à votre GPS et à vos calendriers. Plex non.

Comme toujours, le problème n’est pas tant les données récoltées que ce qui en est fait. On peut par exemple trouver anormal que Plex envoie des données personnelles sur votre stream plusieurs fois par seconde, mais si c’est pour pouvoir reprendre le stream là où vous vous étiez arrêté.e, pourquoi pas ? De même, comment proposer, pour un artiste musical, la liste des titres les plus écoutés dans le monde en temps réel si vous ne loguez pas toutes les écoutes de tout le monde ? Des données exactes et factuelles (et non pas extrapolées) en temps réel, c’est à ce prix.

En conclusion, Plex ne fait ni mieux ni pire que ses concurrents en matière de collecte de données : il n’en récolte pas moins (sinon ça se verrait tout de suite sur les fonctionnalités) et pas plus (à mon avis, “plus” c’est compliqué 🤭). A la différence des autres, il ne revend pas vos données. Avec Netflix par contre, vous payez 3 fois : une fois avec l’abonnement à 19 euros. Une fois avec vos données personnelles qui sont revendues. Et bientôt une 3ème fois avec la publicité qui va arriver.

Restez vigilants. Kiss.

Vous pouvez évaluer cet article en un clic. Garanti sans gluten. Merci !
(Evaluations : 1 / Moyenne : 5)

Piregwan

Le serveur PG m'a chauffé 6 hivers (1998-2004), Maître des traditions et Grand malade à WoW (18Kh de jeu jusqu'à Lich King en 2008), chasseur de gardiens à Ingress de 2014 à 2019, amateur de piments 🌶️ au delà de 30.000 Scoville grâce à Stéphane Pécaut et de pizza maison 🍕 grâce à Marloin, j'aime aussi les 3C (les chats 😼, le code et les choux de Bruxelles 🥦) + la philosophie du CCC allemand (Chaos Computer Club 💻).

Un commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.