doctolib vol données

Doctolib : le site de prise de RDV médicaux frappé par un vol de données

La plateforme de prise de rendez-vous médicaux Doctolib est victime d’une grave fuite de données. Des cybercriminels ont exploité une faille de sécurité dans l’API pour dérober les données personnelles liées à 6128 rendez-vous…

Grâce à Doctolib, la prise de rendez-vous médicaux n’avait jamais été si facile. De nombreuses personnes utilisent cette plateforme, et c’est ce qui a permis à l’entreprise franco-allemande d’atteindre une valorisation de plus d’un milliard d’euros et de lever 150 millions d’euros en 2019.

Malheureusement, facilité n’est pas toujours gage de sécurité… et souvent bien au contraire. Ce jeudi 23 juillet 2020, Doctolib annonce avoir été frappé par un vol de données. Au total, ce sont les informations liées à 6128 rendez-vous qui ont été subtilisées.

Achetez des leads sur la marketplace I.T

Si le nombre d’utilisateurs impactés reste modéré, les données auxquelles les hackers ont accédé sont particulièrement sensibles. Les criminels ont ainsi pu s’emparer des numéros de téléphone et des adresses email des victimes, ou encore du nom et de la spécialité de leurs médecins.

Fort heureusement, la firme précise que les mots de passe des comptes Doctolib n’ont pas été dérobés. En outre, les motifs de rendez-vous n’ont pas été dévoilés. Les utilisateurs concernés vont à présent être contactés directement.

Doctolib : les hackers ont exploité une faille de sécurité dans l’API

Les cybercriminels à l’origine de ce vol, commis le 21 juillet, ont exploité une faille de sécurité. Cette faille a toutefois été colmatée depuis.

L’entreprise précise que la faille de sécurité ne concerne pas le site doctolib.fr ou le logiciel de gestion de cabinet éponyme. Ce sont des logiciels tiers connectés à Doctolib qui ont permis aux hackers d’accéder aux données de rendez-vous.

Ce n’est donc pas le service en lui-même qui était vulnérable, mais l’API permettant aux logiciels tiers de s’y connecter. Cette API était notamment utilisée par des logiciels tiers de prise de rendez-vous ou de gestion d’agendas.

Les données de santé sont considérées comme les plus confidentielles, et il est regrettable de voir que même une plateforme comme Doctolib n’est pas à l’abri d’une fuite de données. Conformément au RGPD, Doctolib a porté plainte et vient de notifier la CNIL.

Cependant, il revient à cette dernière de mener l’enquête et de constater d’éventuels manquements en matière de cybersécurité. Si tel est le cas, Doctolib pourrait écoper d’une lourde amende