Cloudflare a affirmé avoir implémenté Matrix sur Cloudflare Workers, mais ce n’est pas le cas

(tech.lgbt)

1 points par GN⁺ 2026-01-28 | Aucun commentaire pour le moment. | Partager sur WhatsApp

Cloudflare a annoncé avoir implémenté le protocole Matrix sur Cloudflare Workers, mais le code ne contient pas les fonctionnalités essentielles
De nombreux commentaires inachevés comme « TODO: Check authorisation » sont présents dans tout le code, et la vérification des signatures ainsi que les procédures d’authentification sont absentes
Sans implémenter l’algorithme de résolution d’état, le code insère directement le dernier état dans la base de données, ce qui peut entraîner des failles de sécurité et des problèmes de compatibilité
Après la publication du billet de blog, Cloudflare a modifié l’article et le README en ajoutant une clause de non-responsabilité indiquant que ce n’était pas destiné à la production
Dans la communauté des développeurs, les critiques contre le code généré par IA et les affirmations techniques mensongères se sont multipliées, soulevant des doutes sur la crédibilité de Cloudflare

Les affirmations de Cloudflare sur son implémentation de Matrix et la vérification du code

Cloudflare a annoncé sur son blog avoir implémenté Matrix sur Cloudflare Workers, mais le code réel n’assure pas les fonctions essentielles
- Le code contient encore des commentaires inachevés comme « TODO: Validate PDU signature », « TODO: Check authorization »
- Comme les règles d’authentification de l’API inter-serveurs de Matrix ne sont pas implémentées, même des données falsifiées peuvent être acceptées
L’algorithme de résolution d’état (state resolution), au cœur de Matrix, a été omis, et l’approche utilisée consiste simplement à insérer le dernier état dans la base de données
- Cela peut provoquer des incohérences d’état des salons, des problèmes d’interopérabilité et des vulnérabilités de sécurité

Dans son blog, Cloudflare affirmait que Tuwunel et son prédécesseur utilisaient Postgres ou Redis, ce qui est faux
Le billet a ensuite été modifié avec le remplacement par « Synapse », et le README a lui aussi reçu la mention « prototype d’exemple non destiné à la production »
- Ces modifications sont visibles dans le commit GitHub (fd412f41f98c0f3f360f5c4034443ef80680de49)
- La version corrigée inclut aussi une phrase indiquant qu’elle a bénéficié de l’aide de Claude Code Opus 4.5

Sur Mastodon et Lobsters notamment, les critiques contre le code généré par IA et la promotion technique trompeuse se sont propagées
- Nombreux sont ceux qui ont pointé que « la vérification des signatures, les hashes et l’authentification ont été retirés » et qu’il ne s’agissait pas d’un système sécurisé mais d’un simple exemple
Certains utilisateurs ont qualifié la réponse de Cloudflare de « tentative de dissimulation », en suivant la suppression de l’historique des commits et les traces de force push
La communauté a également réagi avec des commentaires satiriques
- « Comme l’architecture est serverless, le coût passe à l’échelle jusqu’à 0 (puisque cela n’existe pas). »
- « Cloudflare a atteint une sécurité parfaite en n’envoyant tout simplement aucun message. »

Jade a présenté Continuwuity, un homeserver Matrix en Rust qu’elle développe
- Il peut fonctionner même sur un Raspberry Pi et ne dépend pas d’une infrastructure cloud centralisée
Une intervention est prévue à la FOSDEM 2026 sur le thème de l’expérience de correction de vulnérabilités Matrix
- La co-intervenante sera @nex@fedi.transgender.ing, qui participera également au stand Matrix

Plusieurs développeurs ont relevé dans le code de Cloudflare des erreurs de logique (par exemple l’utilisation de || au lieu de ??), la gestion des « unknown error » et l’abondance de commentaires TODO
Certains ont souligné l’ironie de voir le commit de correction de Cloudflare laisser « Remove PII » comme commit public
Plus largement, la communauté a exprimé des inquiétudes quant à la dépendance de Cloudflare au développement assisté par IA et à son manque de fiabilité technique