Doctolib victime d'un vol de données sur plus de 6.000 rendez-vous médicaux

Les données personnelles associées à plus de 6.000 rendez-vous médicaux ont été dérobées. La fuite serait "colmatée", d'après Doctolib.

Sylvain Rolland

23 Juill 2020, 17:23

Malgré la sensibilité des données volées -notamment le nom, le numéro de téléphone et l'adresse courriel-, Doctolib affirme qu'aucune donnée médicale n'a pu être lue. — Malgré la sensibilité des données volées -notamment le nom, le numéro de téléphone et l'adresse courriel-, Doctolib affirme "qu'aucune donnée médicale n'a pu être lue". (Crédits : STEVE MARCUS)

C'est le cauchemar de tout service de santé connectée : le vol de données. Doctolib, leader français de la prise de rendez-vous et des téléconsultations, vient d'en faire l'amère expérience. Jeudi 23 juillet, la startup française a annoncé avoir été victime d'un piratage "visant des informations administratives de rendez-vous", c'est-à-dire le nom, le prénom, l'âge, le sexe, le numéro de téléphone et l'adresse courriel du patient, ainsi que la date du rendez-vous, le nom et la spécialité du médecin. Des informations très sensibles. Cet "acte malveillant" a concerné 6.128 rendez-vous.

Doctolib attaqué via les logiciels tiers qui se connectent à son service

Dans le détail, la fuite de données qui a permis d'accéder illégalement aux données personnelles concernant plus de 6.000 rendez-vous, a été détectée, puis immédiatement stoppée, le mardi 21 juillet par les équipes de Doctolib. Les attaquants n'ont pas réussi à pénétrer le service en tant que tel, c'est-à-dire les rendez-vous pris directement sur le site www.doctolib.fr ou sur le logiciel de gestion de cabinet de Doctolib. Ils ont exploité des vulnérabilités de certains logiciels tiers connectés à Doctolib par des API, des interfaces de programmation.

Malgré la sensibilité des données volées -notamment le nom, le numéro de téléphone et l'adresse courriel-, Doctolib affirme "qu'aucune donnée médicale n'a pu être lue : aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n'a été concerné", écrit l'entreprise dans un communiqué publié sur son site web. Elle ajoute qu'aucun mot de passe n'a pu être lu et que "rien ne nous permet de conclure à ce jour à une utilisation de ces informations administratives", qui n'ont pas non plus été manipulées par les hackers.

Enfin, la nouvelle licorne de la French Tech -startup valorisée plus d'un milliard de dollars- a annoncé avoir informé la Commission nationale de l'informatique et des libertés (CNIL), comme l'y oblige le RGPD, la règlementation européenne sur la protection des données personnelles. "Une plainte a par ailleurs été déposée à la police", ajoute l'entreprise.

Sujets les + lus

Sujets les + commentés

Sénégal : le nouveau président veut renégocier les contrats miniers et pétroliers, accusés de léser le pays

Annulations de vols en pagaille malgré la levée de grève de dernière minute du syndicat majoritaire des contrôleurs aériens

Gros coup pour Airbus, la low cost indienne Indigo va acheter 100 Airbus A350 pour passer au long-courrier

Faute de concurrence, la dette française attire plus que jamais les investisseurs

Allemagne : « l'homme malade de l'Europe » table sur un retournement économique au printemps

Commentaires 7

kazimirov à écrit le 29/07/2020 à 1:43

Signaler

Le Règlement général sur la protection des données ( RGPD) a il été respecté correctement par Doctolib qui utilise de nombreux prestataires ? Mais le seul responsable c'est son PDG ! Pour faire des marges ont néglige la sécurité des SI et leurs datas...

floriant75 à écrit le 26/07/2020 à 22:29

Signaler

avant il y avait la secrétaire avec son carnet de rendez vous pris à la main donc inviolable à moins d’un cambriolage de tous les cabinets...maintenant tous est réunis en une seule place donc très dangereux...nous voulons nous passer de l’humain mais...

PIC SOUS à écrit le 24/07/2020 à 9:57

Signaler

Je rejoins"La Chose", Doctolib est une passoire interne et externe, voir enquête menée par un autre journal, témoignages à l'appui. Il est étonnant que cette plateforme n'est fait l'objet d'aucun contrôle poussé depuis sa création, ni de la part de l...

Brehat à écrit le 24/07/2020 à 9:57

Signaler

Et dire qu’ on nous oblige à utiliser doctolib pour réserver n importe quel rdv médical ... ou est le choix pour le consommateur -patient ? ou est le respect démocratique du citoyen ... ? Sans compter les milliers d emplois supprimés pour gonfler l...

11 libre à écrit le 24/07/2020 à 7:31

Signaler

Oui le piratage c'est la, plaie, totale totale. Doctolib, easyJet, zoom, etc tous piraté complètement dingue. Les données personnelles envolées. Il faut une loi contraignante pour les hackers les pirates. L'internet doit être plus sur et sécurisé. L...

Valbel89 à écrit le 23/07/2020 à 21:01

Signaler

Ah ! Le monde merveilleux d'internet. Une "Couillonade". La plus grande " couillonade" du siècle.

lachose à écrit le 23/07/2020 à 17:41

Signaler

C'était tellement prévisible. Février 2020 : La nouvelle législation imposée depuis mai 2018 par le Règlement général sur la protection des données ( RGPD) demande des précautions bien spécifiques aux entreprises qui recueillent ces données ... C'était tellement prévisible. Février 2020 : La nouvelle législation imposée depuis mai 2018 par le Règlement général sur la protection des données ( RGPD) demande des précautions bien spécifiques aux entreprises qui recueillent ces données sensibles. Le RGPD exige également que ces données de santé ne soient pas collectées indéfiniment. Stanislas Niox-Chateau, le PDG et fondateur de Doctolib soutient que chaque utilisateur a " le contrôle exclusif" de ses données. Mais sur Twitter, certains internautes qui veulent vérifier que Doctolib applique bien la procédure RGPD, s'étonnent pourtant de ne recevoir qu'une partie des données enregistrées. " Les patients et leurs professionnels de santé ont le contrôle exclusif de leurs données de santé : Doctolib ne peut pas en disposer librement. Doctolib ne peut pas les fournir sur demande. Pour les obtenir, il faut demander aux professionnels de santé" informe la plateforme sur son compte Twitter. Par ailleurs, on aurait tendance à l'ignorer mais la plateforme qui est considérée comme un prestataire de service n'a aucune obligation de récolter le consentement de l'usager pour collecter ses données. Et des patients de s'étonner à la réception d'un SMS de Doctolib alors qu'ils avaient pris le rendez-vous directement auprès du médecin ou du spécialiste.Alors, y a-t-il un risque pour nos données personnelles stockées par Doctolib ?Non, répond l'entreprise qui sous-traite la collecte des données notamment au prestataire " Web Services" d'Amazon. "Nous utilisons des clés de chiffrement spécifiques, que nous transmettons à nos clients de telle sorte qu'ils soient les seuls en mesure d'avoir accès aux données de santé", explique à France Info Camille Cacheux, la directrice générale de Coreye l'un des sites hébergeurs des données pour Doctolib. Elle assure que tous les outils sont mis à disposition pour éviter la récupération des données par un tiers : antivirus, pare-feu et protection contre les attaques.ur son compte Twitter, l'entreprise a tenu à rassurer ses usagers ce mardi en rappelant que les données enregistrées sont protégées : " Les données de santé des utilisateurs de Doctolib sont hébergées chez des hébergeurs certifiés de données de santé, comme le veut la loi et selon les principes définis par la CNIL et le Ministère de la Santé". Tout faux.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

Innovation et Start-up

Doctolib victime d'un vol de données sur plus de 6.000 rendez-vous médicaux

Doctolib attaqué via les logiciels tiers qui se connectent à son service

Newsletter - Tech & Médias