Doctolib : les données de 6218 rendez-vous dans la nature

Doctolib : les données de 6218 rendez-vous dans la nature

Dans un communiqué publié sur son site, Doctolib annonce avoir été victime d’une fuite de données ayant permis à un tiers d’accéder « illégalement aux informations administratives de 6 128 rendez-vous. » L’attaque a été détectée le mardi 21 juillet par les équipes de sécurité de Doctolib, qui ont immédiatement mis fin à cet accès.

Questionné sur la durée de cette exposition de données, Doctolib nous précise que « les informations administratives concernées n’ont jamais été accessibles. Elles ont pu être lues pendant un court laps de temps par l’auteur de cet acte malveillant, avant que l’équipe de sécurité de Doctolib le bloque. » Doctolib ne précise pas exactement ce que représente ce « court laps de temps ».

publicité

« Les informations administratives concernées sont les suivantes : le nom, le prénom, le sexe, le numéro de téléphone et l’adresse email du patient, ainsi que la date de rendez-vous, le nom et la spécialité du professionnel de santé concerné par le rendez-vous » indique la plateforme, qui précise que les données en questions sont liées à « des rendez-vous pris sur certains logiciels tiers connectés à Doctolib » et non des rendez-vous pris au travers de sa plateforme ou de son logiciel de gestion de cabinet. Doctolib nous précise que « l’auteur de l’acte a pu lire des informations administratives qui provenaient de ces logiciels, sans pouvoir les importer ou les modifier. Aucun de ces logiciels n’a été affecté. »

Comme le rapporte le Monde, la fuite de données pourrait être liée à une API utilisée par des logiciels tiers afin de s’interconnecter avec les systèmes de Doctolib. Cette théorie semble cohérente avec les déclarations des porte-paroles de Doctolib, qui se refusent à évoquer une faille dans ses logiciels ou dans les logiciels tiers utilisés par ses partenaires. Doctolib a en effet développé une API visant à interconnecter son système avec d’autres logiciels de gestion de cabinets médicaux pour faciliter la prise des rendez-vous.

Doctolib précise dans son communiqué que les mots de passe des utilisateurs n’ont pas été exposés, et ajoute « qu’aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n’a été concerné ». La société a déclaré l’incident auprès de la CNIL et a porté plainte. Doctolib indique être entré en contact avec les différents établissements de santé et les cabinets dont les données ont été affectées par cette fuite de données. Selon Doctolib, ce sont ces établissements de santé qui se chargeront de contacter les patients dont les données ont été exposées par l’incident de sécurité. ‍

Leave a Reply

Your email address will not be published. Required fields are marked *