Doctolib victime d'un vol de données sur plus de 6.000 rendez-vous médicaux

Les données personnelles associées à plus de 6.000 rendez-vous médicaux ont été dérobées. La fuite serait "colmatée", d'après Doctolib.
Sylvain Rolland
Malgré la sensibilité des données volées -notamment le nom, le numéro de téléphone et l'adresse courriel-, Doctolib affirme qu'aucune donnée médicale n'a pu être lue.
Malgré la sensibilité des données volées -notamment le nom, le numéro de téléphone et l'adresse courriel-, Doctolib affirme "qu'aucune donnée médicale n'a pu être lue". (Crédits : STEVE MARCUS)

C'est le cauchemar de tout service de santé connectée : le vol de données. Doctolib, leader français de la prise de rendez-vous et des téléconsultations, vient d'en faire l'amère expérience. Jeudi 23 juillet, la startup française a annoncé avoir été victime d'un piratage "visant des informations administratives de rendez-vous", c'est-à-dire le nom, le prénom, l'âge, le sexe, le numéro de téléphone et l'adresse courriel du patient, ainsi que la date du rendez-vous, le nom et la spécialité du médecin. Des informations très sensibles. Cet "acte malveillant" a concerné 6.128 rendez-vous.

Lire aussi : Coronavirus : explosion des téléconsultations en France, Doctolib grand gagnant

Doctolib attaqué via les logiciels tiers qui se connectent à son service

Dans le détail, la fuite de données qui a permis d'accéder illégalement aux données personnelles concernant plus de 6.000 rendez-vous, a été détectée, puis immédiatement stoppée, le mardi 21 juillet par les équipes de Doctolib. Les attaquants n'ont pas réussi à pénétrer le service en tant que tel, c'est-à-dire les rendez-vous pris directement sur le site www.doctolib.fr ou sur le logiciel de gestion de cabinet de Doctolib. Ils ont exploité des vulnérabilités de certains logiciels tiers connectés à Doctolib par des API, des interfaces de programmation.

Malgré la sensibilité des données volées -notamment le nom, le numéro de téléphone et l'adresse courriel-, Doctolib affirme "qu'aucune donnée médicale n'a pu être lue : aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n'a été concerné", écrit l'entreprise dans un communiqué publié sur son site web. Elle ajoute qu'aucun mot de passe n'a pu être lu et que "rien ne nous permet de conclure à ce jour à une utilisation de ces informations administratives", qui n'ont pas non plus été manipulées par les hackers.

Enfin, la nouvelle licorne de la French Tech -startup valorisée plus d'un milliard de dollars- a annoncé avoir informé la Commission nationale de l'informatique et des libertés (CNIL), comme l'y oblige le RGPD, la règlementation européenne sur la protection des données personnelles. "Une plainte a par ailleurs été déposée à la police", ajoute l'entreprise.

Lire aussi : Doctolib lève 150 millions d'euros et devient la 5e licorne française

Sylvain Rolland
En direct - Transition Forum 2022

Sujets les + lus

|

Sujets les + commentés

Commentaires 7
à écrit le 29/07/2020 à 1:43
Signaler
Le Règlement général sur la protection des données ( RGPD) a il été respecté correctement par Doctolib qui utilise de nombreux prestataires ? Mais le seul responsable c'est son PDG ! Pour faire des marges ont néglige la sécurité des SI et leurs datas...

à écrit le 26/07/2020 à 22:29
Signaler
avant il y avait la secrétaire avec son carnet de rendez vous pris à la main donc inviolable à moins d’un cambriolage de tous les cabinets...maintenant tous est réunis en une seule place donc très dangereux...nous voulons nous passer de l’humain mais...

à écrit le 24/07/2020 à 9:57
Signaler
Je rejoins"La Chose", Doctolib est une passoire interne et externe, voir enquête menée par un autre journal, témoignages à l'appui. Il est étonnant que cette plateforme n'est fait l'objet d'aucun contrôle poussé depuis sa création, ni de la part de l...

à écrit le 24/07/2020 à 9:57
Signaler
Et dire qu’ on nous oblige à utiliser doctolib pour réserver n importe quel rdv médical ... ou est le choix pour le consommateur -patient ? ou est le respect démocratique du citoyen ... ? Sans compter les milliers d emplois supprimés pour gonfler l...

à écrit le 24/07/2020 à 7:31
Signaler
Oui le piratage c'est la, plaie, totale totale. Doctolib, easyJet, zoom, etc tous piraté complètement dingue. Les données personnelles envolées. Il faut une loi contraignante pour les hackers les pirates. L'internet doit être plus sur et sécurisé. L...

à écrit le 23/07/2020 à 21:01
Signaler
Ah ! Le monde merveilleux d'internet. Une "Couillonade". La plus grande " couillonade" du siècle.

à écrit le 23/07/2020 à 17:41
Signaler
C'était tellement prévisible. Février 2020 : La nouvelle législation imposée depuis mai 2018 par le Règlement général sur la protection des données ( RGPD) demande des précautions bien spécifiques aux entreprises qui recueillent ces données ...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.