Des messages publiés sur un forum communautaire font état de fichiers inconnus apparaissant dans les comptes pCloud et de documents personnels effacés par un tiers. L'entreprise suisse a réagi en ouvrant une enquête, mais aucune violation de données n'est pour l'instant établie.
Depuis début février, des témoignages circulent sur r/pcloud, un subreddit non officiel créé par des utilisateurs du service de stockage en ligne pour échanger plus librement que sur le canal officiel dédié uniquement au support technique. Plusieurs abonnés y affirment avoir découvert des fichiers et dossiers ne leur appartenant pas dans leur interface de stockage ou encore des fichiers supprimés. Selon eux, ces contenus ne proviendraient ni de partages, ni d'erreurs de manipulation.
Des témoignages contradictoires
Les messages publiés sur le fil de discussion présentent des situations variées. Un utilisateur mentionne être affecté malgré l'activation de l'authentification à deux facteurs. D'autres évoquent l'hypothèse d'un problème technique dans l'attribution des espaces de stockage, avec des identifiants qui auraient pu se chevaucher entre différents comptes.
Tous les témoignages ne vont pas dans le même sens. La majorité d'entre eux affirment n'avoir observé aucun problème sur leur compte. Certains utilisateurs minimisent l'incident en parlant d'un simple bug d'affichage, sans véritable accès aux données d'autrui. Un commentaire affirme en revanche qu'un fichier stocké dans l'espace sécurisé pCloud Crypto a été effacé.
L'auteur du thread déclare avoir reçu une réponse privée du support pCloud évoquant "une anomalie rare de synchronisation qui pourrait affecter certains utilisateurs", une déclaration qui n'a toutefois pas été officiellement rendue publique par l'entreprise elle-même.
pCloud réagit par précaution
Le compte officiel pCloudApp est intervenu directement sur ce forum communautaire pour annoncer l'ouverture d'une enquête. L'entreprise qualifie la situation de "préoccupation sérieuse" si des données ou métadonnées d'un utilisateur devenaient effectivement visibles par un autre. Cette exposition potentielle concernerait des données personnelles au sens du RGPD.
Le service examine actuellement l'isolation des comptes au niveau serveur et vérifie l'ensemble de ses plateformes. À ce stade de l'investigation, aucun accès non autorisé aux fichiers n'a été détecté, mais les vérifications se poursuivent concernant une éventuelle exposition de métadonnées.
pCloud affirme :
Nous avons lancé une procédure formelle de réponse aux incidents, incluant une investigation ciblée de toutes les plateformes et une vérification complète de l'isolation des données au niveau des comptes côté serveur. À ce stade, il n'existe aucune preuve d'accès non autorisé aux contenus des fichiers, mais nous examinons minutieusement toutes les possibilités, y compris une exposition erronée de métadonnées.
Avec notre équipe de Protection des Données, nous évaluons l'incident au regard de nos obligations en vertu des articles 33 et 34 du RGPD. Si l'incident devait être qualifié de violation de données personnelles devant être notifiée, nous informerons l'autorité de contrôle compétente et les utilisateurs concernés sans délai.
Affaire à suivre donc….
