Le chiffrement de pCloud est cassé : l'ETH Zurich a trouvé des failles critiques, pCloud s'en fiche

9 min de lecture
cloud-storage pcloud encryption security vulnerability privacy eth-zurich
Table des Matières

J’ai recommandé pCloud sur ce site. Je gagne de l’argent quand vous achetez du stockage cloud chez eux. Et maintenant je dois vous dire que leur chiffrement est, apparemment, cassé.

Test de sécurité E2EE Cloud de l'ETH Zurich : qui a réussi, qui a échoué

FournisseurAttaque par injection de cléInjection de fichiersFalsification des métadonnéesProblèmes d'auth. des chunksRéponse à la divulgation
pCloud ❌ Vulnérable ❌ Vulnérable ❌ Vulnérable ❌ Vulnérable Balayé comme 'théorique'
Sync.com ❌ Vulnérable ❌ Vulnérable ❌ Vulnérable N/A Aucune réponse à la divulgation
Icedrive N/A ❌ Vuln. limitée ❌ Vulnérable ❌ Vulnérable Reconnu mais correction refusée
Seafile N/A ❌ Vulnérable ❌ Vulnérable ❌ Vulnérable Correction partielle promise
Tresorit ✅ Non vulnérable ✅ Non vulnérable ✅ Non vulnérable ✅ Non vulnérable Sécurisé dès la conception

Source : 'End-to-End Encrypted Cloud Storage in the Wild: A Broken Ecosystem' — ETH Zurich, ACM CCS 2024. Article complet : brokencloudstorage.info

En octobre 2024, les chercheurs Jonas Hofmann et Kien Tuong Truong de l’ETH Zurich — l’une des meilleures universités techniques au monde — ont publié un article intitulé “End-to-End Encrypted Cloud Storage in the Wild: A Broken Ecosystem” à l’ACM CCS 2024.

Ils ont testé cinq grands fournisseurs de stockage cloud chiffré de bout en bout : pCloud, Sync.com, Icedrive, Seafile et Tresorit.

Quatre sur cinq ont échoué. pCloud a eu les pires résultats.

Seul Tresorit a réussi — parce que, comme les chercheurs l’ont noté, il avait “une conception comparativement plus réfléchie et un choix approprié de primitives cryptographiques.”

pCloud ? Vulnérable à chaque catégorie d’attaque testée.

Divulgation de commissions d’emblée : Je gagne de l’argent avec pCloud (affilié). Je gagne $0 avec Tresorit. Je gagne $0 avec Proton Drive. Je m’apprête à vous dire que le module de chiffrement payant de pCloud — celui que j’ai recommandé dans de précédents articles — présente des failles de sécurité critiques que pCloud refuse de corriger. C’est la même approche de transparence que j’ai adoptée quand j’ai dénoncé les mensonges de l’hébergement “illimité” de mes propres partenaires affiliés.

Verdict en 30 secondes

  • L’ETH Zurich a trouvé pCloud vulnérable à 4 catégories d’attaques critiques — injection de clé, injection de fichiers, falsification des métadonnées et contournement de l’authentification des chunks
  • Un serveur malveillant pourrait déchiffrer vos fichiers “chiffrés” en forçant votre client à utiliser une clé contrôlée par l’attaquant
  • pCloud a balayé les résultats comme “théoriques” et “basés sur des conditions hautement irréalistes”
  • pCloud n’a pas répondu aux tentatives de divulgation responsable des chercheurs
  • Aucun correctif n’a été publié en date de mars 2026
  • Les utilisateurs paient $3.99-$4.99/mois en plus pour un chiffrement Crypto aux failles avérées
  • Seul Tresorit a réussi le test de sécurité complet — le seul stockage cloud E2EE qui fonctionne réellement comme annoncé
  • Février 2026 : des utilisateurs de pCloud ont signalé voir les fichiers d’autres personnes dans leurs comptes — un incident séparé mais préoccupant

Ce que l’ETH Zurich a découvert

Les chercheurs ont testé chaque fournisseur contre un modèle de menace spécifique : que se passe-t-il si le serveur est compromis ou malveillant ? C’est important parce que tout l’intérêt du chiffrement de bout en bout est que même l’opérateur du serveur ne peut pas accéder à vos fichiers.

Si le chiffrement cède quand le serveur est hostile, ce n’est pas du vrai chiffrement de bout en bout. C’est du marketing.

Attaque 1 : Clés de chiffrement non authentifiées

La découverte la plus critique. Un serveur pCloud malveillant pourrait forcer votre client à chiffrer des fichiers avec une clé contrôlée par l’attaquant. L’attaquant pourrait alors déchiffrer ces fichiers.

En clair : le client de chiffrement de pCloud ne vérifie pas correctement que la clé de chiffrement vous appartient réellement. Un serveur hostile peut substituer sa propre clé, votre client chiffre avec, et le serveur peut tout lire.

Cela anéantit tout l’intérêt du chiffrement de bout en bout.

Attaque 2 : Injection de fichiers

Un serveur malveillant pourrait placer des fichiers dans votre espace de stockage, impossibles à distinguer des fichiers que vous avez vous-même uploadés. Vous n’auriez aucun moyen de faire la différence entre vos vrais fichiers et ceux injectés.

Ce n’est pas qu’une nuisance théorique — imaginez des preuves fabriquées, des documents manipulés ou des fichiers de phishing apparaissant dans votre stockage cloud “chiffré”.

Attaque 3 : Falsification des métadonnées

Les noms de fichiers, les structures de dossiers et les chemins de fichiers ne sont pas protégés en intégrité chez pCloud. Un serveur malveillant pourrait renommer vos fichiers, réorganiser vos dossiers ou tronquer les noms de fichiers sans détection.

Votre stockage “chiffré” pourrait silencieusement se réorganiser sans que vous le sachiez jamais.

Attaque 4 : Contournement de l’authentification des chunks

pCloud découpe les fichiers en chunks pour l’upload. Les chercheurs ont découvert que ces chunks ne sont pas correctement authentifiés — ce qui signifie qu’un serveur malveillant pourrait supprimer ou réordonner des chunks au sein d’un fichier, corrompant vos données de manière pas immédiatement visible.

La réponse de pCloud : le rejet

Quand les chercheurs ont tenté de divulguer ces vulnérabilités de manière responsable — la pratique standard en recherche de sécurité où l’on notifie l’entreprise avant de publier — pCloud n’a pas répondu.

Après la publication de l’article, pCloud a publié une déclaration qualifiant les résultats de “théoriques” et “basés sur des conditions hautement irréalistes qui ne reflètent pas les menaces du monde réel.”

Ils ont ajouté : “Si des enseignements exploitables émergent de cette recherche, nous implémenterons rapidement des améliorations.”

Traduction : “On ne pense pas que c’est un problème et on ne va rien corriger.”

En date de mars 2026 — plus d’un an après la tentative de divulgation responsable — aucun correctif n’a été publié.

Comparez avec Tresorit, qui n’a eu besoin de rien corriger parce que leur chiffrement était correctement conçu dès le départ. Ou Seafile, qui s’est au moins engagé à traiter les problèmes.

Le schéma de réponse de pCloud :

  1. A ignoré les chercheurs
  2. A qualifié les résultats de théoriques
  3. N’a publié aucun correctif
  4. Continue de facturer $3.99-$4.99/mois pour Crypto

Puis les fichiers des utilisateurs ont commencé à apparaître dans les comptes d’autres personnes

En février 2026 — des mois après que pCloud ait balayé les résultats de l’ETH Zurich comme “théoriques” — des utilisateurs ont signalé un incident séparé où des fichiers et dossiers d’autres utilisateurs pCloud sont devenus visibles dans leurs comptes.

Certains utilisateurs pouvaient télécharger ces fichiers. D’autres pouvaient voir les noms de fichiers et les métadonnées. C’était une exposition de données inter-comptes — l’une des défaillances de sécurité les plus basiques qu’un fournisseur de stockage cloud puisse avoir.

La réponse de pCloud ? Ils ont appelé ça une “anomalie de synchronisation rare.”

Sous le RGPD, ils avaient 72 heures pour notifier les utilisateurs concernés. Aucune notification RGPD officielle n’a été publiée. Les utilisateurs n’en ont eu connaissance que via les canaux de support en contactant pCloud eux-mêmes.

Cet incident est distinct des résultats de l’ETH Zurich sur le chiffrement. Mais il brosse un tableau : une entreprise qui rejette la recherche académique en sécurité, ne corrige pas les vulnérabilités connues, puis subit un incident fondamental d’exposition de données qu’elle minimise et ne divulgue pas correctement.

Vous payez un supplément pour un chiffrement cassé

Voilà ce qui rend la chose particulièrement rageante : pCloud Crypto est un module payant.

  • Mensuel : $3.99-$4.99/mois en plus de votre forfait de stockage
  • À vie : $150 en une fois en plus de votre achat de stockage à vie

Les utilisateurs paient un supplément pour un chiffrement dont les chercheurs de l’ETH Zurich ont prouvé qu’il peut être contourné par un serveur hostile. Et le stockage par défaut de pCloud — sans Crypto — utilise des clés de chiffrement que pCloud contrôle, ce qui signifie qu’ils peuvent accéder à vos fichiers à tout moment.

Les options sont donc :

  1. Sans Crypto : pCloud détient les clés et peut accéder à vos fichiers
  2. Avec Crypto : Vous payez un supplément pour un chiffrement aux vulnérabilités documentées que pCloud refuse de corriger

Aucune des deux n’est acceptable pour un service qui se vend sur la sécurité.

Comment cela change mes recommandations

J’ai recommandé pCloud dans plusieurs articles sur ce site. J’ai touché des commissions sur ces recommandations.

C’est terminé à partir d’aujourd’hui pour les cas d’usage axés sur la sécurité.

Si vous utilisez pCloud comme stockage cloud pratique et que le chiffrement ne vous préoccupe pas — ça fonctionne toujours bien pour ça. La synchronisation est bonne, les applications sont correctes, les tarifs (surtout les offres à vie) sont compétitifs.

Mais si vous avez choisi pCloud parce que vous faisiez confiance à son chiffrement — si vous stockez des documents sensibles, des relevés financiers, des dossiers médicaux ou quoi que ce soit nécessitant une vraie protection — vous devez changer.

Quoi utiliser à la place

Pour un stockage cloud orienté vie privée :

Proton Drive — À partir de gratuit (Commission : $0)

  • Vrai chiffrement zero-knowledge par défaut (pas un module payant)
  • Basé sur OpenPGP (standard ouvert, éprouvé au combat)
  • Juridiction suisse, quatre audits Securitum consécutifs
  • Noms de fichiers, noms de dossiers et métadonnées tous chiffrés
  • Lisez notre test complet de Proton Drive
  • Commission : $0 (je ne gagne rien)

Pour du stockage E2EE vérifié :

Tresorit — le seul fournisseur qui a réussi le test de l’ETH Zurich. Leur conception du chiffrement a été saluée comme “plus réfléchie” avec un “choix approprié de primitives cryptographiques.” Si vous avez besoin d’un chiffrement qui fonctionne réellement comme annoncé, Tresorit est la seule option testée. Commission : $0 (aucune relation d’affiliation).

Pour comprendre le paysage complet :

Consultez notre Carte du monopole du stockage cloud pour savoir qui possède quoi et où vivent les alternatives indépendantes.

La vérité dérangeante sur le stockage cloud “chiffré”

L’étude de l’ETH Zurich a testé cinq fournisseurs. Quatre ont échoué. Les services avec une base d’utilisateurs combinée de plus de 22 millions utilisent un chiffrement qui ne protège pas contre la menace exacte contre laquelle il est censé protéger — un serveur compromis ou malveillant.

C’est important parce que :

  • Demandes gouvernementales : Si un gouvernement ordonne à pCloud de transmettre des données, leur serveur peut potentiellement déchiffrer vos fichiers “chiffrés” via l’attaque par injection de clé
  • Violations de données : Si un attaquant compromet les serveurs de pCloud, le chiffrement ne vous protège pas
  • Menaces internes : Un employé malveillant pourrait potentiellement accéder aux fichiers chiffrés

Tout l’intérêt du chiffrement de bout en bout est qu’aucun de ces scénarios ne devrait avoir d’importance. Avec un E2EE correctement implémenté, même pCloud eux-mêmes ne devraient pas pouvoir accéder à vos fichiers.

Avec l’implémentation actuelle de pCloud, ils le peuvent. Et ils vous font payer un supplément pour ce privilège.

Ne me faites pas confiance — vérifiez tout vous-mêmes

Divulgation complète : Je gagne de l’argent avec pCloud (affilié). Je gagne $0 avec Tresorit, $0 avec Proton Drive. Je dénonce les failles de chiffrement de pCloud malgré la relation d’affiliation — parce que recommander une sécurité cassée pour toucher une commission n’est pas quelque chose que je suis prêt à faire. Mon article sur l’offre à vie de pCloud sera mis à jour pour refléter ces découvertes.

The Angry Dev

NE faites PAS confiance aux sites d’avis. Les commissions d’affiliation dictent leurs classements. Ceci est aussi un site d’affiliation, mais je suis honnête sur ce que je gagne et je classe par qualité plutôt que par rémunération. Même si cela signifie que je suis payé 0 $. Lisez mon approche et pourquoi j’ai arrêté de raconter des conneries. Voici les données brutes pour que vous puissiez tout vérifier.

VPN | Hébergement | Stockage | Outils

Articles connexes

Besoin de stockage cloud sécurisé ?

pCloudPlans à vie, confidentialité suisse
IcedriveInterface épurée, chiffrement zero-knowledge
Sync.comChiffrement de bout en bout, confidentialité canadienne
Liens affiliés — Je peux recevoir une commission