C'est le cauchemar de tout service de santé connectée : le vol de données. Doctolib, leader français de la prise de rendez-vous et des téléconsultations, vient d'en faire l'amère expérience. Jeudi 23 juillet, la startup française a annoncé avoir été victime d'un piratage "visant des informations administratives de rendez-vous", c'est-à-dire le nom, le prénom, l'âge, le sexe, le numéro de téléphone et l'adresse courriel du patient, ainsi que la date du rendez-vous, le nom et la spécialité du médecin. Des informations très sensibles. Cet "acte malveillant" a concerné 6.128 rendez-vous.
Doctolib attaqué via les logiciels tiers qui se connectent à son service
Dans le détail, la fuite de données qui a permis d'accéder illégalement aux données personnelles concernant plus de 6.000 rendez-vous, a été détectée, puis immédiatement stoppée, le mardi 21 juillet par les équipes de Doctolib. Les attaquants n'ont pas réussi à pénétrer le service en tant que tel, c'est-à-dire les rendez-vous pris directement sur le site www.doctolib.fr ou sur le logiciel de gestion de cabinet de Doctolib. Ils ont exploité des vulnérabilités de certains logiciels tiers connectés à Doctolib par des API, des interfaces de programmation.
Malgré la sensibilité des données volées -notamment le nom, le numéro de téléphone et l'adresse courriel-, Doctolib affirme "qu'aucune donnée médicale n'a pu être lue : aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n'a été concerné", écrit l'entreprise dans un communiqué publié sur son site web. Elle ajoute qu'aucun mot de passe n'a pu être lu et que "rien ne nous permet de conclure à ce jour à une utilisation de ces informations administratives", qui n'ont pas non plus été manipulées par les hackers.
Enfin, la nouvelle licorne de la French Tech -startup valorisée plus d'un milliard de dollars- a annoncé avoir informé la Commission nationale de l'informatique et des libertés (CNIL), comme l'y oblige le RGPD, la règlementation européenne sur la protection des données personnelles. "Une plainte a par ailleurs été déposée à la police", ajoute l'entreprise.
Sujets les + commentés