Doctolib victime d’un vol de données problématique

L’application Doctolib qui permet de prendre des rendez-vous a été compromise et 6128 rendez-vous ont été interceptées. Le site a depuis expliqué avoir stoppé l’attaque mais que des données sensibles ont été vues. Qu’en est-il donc clairement ?

Une fuite problématique qui est prise à la légère par le site de RDV médicaux

En effet le 23 juillet 2020, le site de prise de rendez-vous a signalé avoir été victime d’un piratage ou plutôt d’un acte malveillant qui a été rapidement détecté et stoppé. Malheureusement cela n’a pas suffit et des données ont été récupérées.

Ce piratage visait des informations administratives de rendez-vous [mais] aucune donnée médicale n’est concernée

Selon le site

Rien de rassurant dans cette phrase puisque ces données peuvent être facilement utilisé pour de l’usurpation d’identité dans le pire des cas mais tout un tas d’autres choses sont possibles aussi.

De plus Doctolib a signalé :

6 128 rendez-vous avec “le nom, le prénom, le sexe, le numéro de téléphone et l’adresse email du patient, ainsi que la date de rendez-vous, le nom et la spécialité du professionnel de santé concerné par le rendez-vous”

Selon Doctolib

Comme je le disais plus haut, le problème ne vient pas de la prise des rendez-vous mais du détournement d’informations qui est extrêmement inquiétant selon moi. L’entreprise précise que les mots de passe sont à l’abri et “cet accès illégal ne concerne pas les rendez-vous pris sur www.doctolib.fr”. Toujours selon le site, l’accès frauduleux est venu de certains logiciels tiers connectés au site via l’API. Il n’en reste pas moins que c’est alors de leur responsabilité.

L’affaire est donc extrêmement sensible comme vous le comprenez puisque les informations volées sont sensées être de l’ordre du privée. Surtout quand on sait qu’il y a seulement quelques jours, Télérama rédigeait un article au sujet de la gestion très sensible des données personnelles de la part du site. On parle là de “base de données des patients partagée sans mot de passe sur des clés USB” ou de délais allant “jusqu’à deux ou trois semaines pour corriger une faille de sécurité”.

Doctolib a donc informé la Cnil et porté plainte pour cette intrusion.

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *