Utilisée par 35 millions de Français, la plateforme Doctolib a bloqué une attaque de son système en ligne de prise de rendez-vous. Les nom, prénom, adresse email et numéro de téléphone liés à plus de 6.000 rendez-vous ont été piratés.

Cela vous intéressera aussi

« Construire le système de santé de demain ». C'est l'ambition de Doctolib, et ce service de prise de rendez-vous médicaux en ligne revendique 60 millions d'utilisateurs par mois, liés à 135.000 praticiens au quotidien. C'est vrai que c'est très pratique d'accéder directement à l'agenda de son médecin pour prendre rendez-vous, mais hélas, ça attire les pirates...

Jeudi, Doctolib a ainsi annoncé que son équipe de sécurité « a détecté et stoppé un acte malveillant contre Doctolib, qui a permis d'accéder illégalement aux informations administratives de 6.128 rendez-vous ». Même si la société précise qu'aucune information liée au dossier médical des patients n'a été collectée, la simple prise de rendez-vous exige de donner ses nom, prénom, numéro de téléphone et adresse email ; le tout lié à un nom de médecin et son adresse.

La faille est chez les praticiens

Doctolib précise que l'attaque n'a pas concerné ses serveursserveurs directement, mais les logicielslogiciels tiers qui ont accès à la plateforme. Il s'agit d'applicationsapplications utilisées par les praticiens pour partager leurs agendas directement avec Doctolib. Si ces logiciels sont moins sécurisés, ils sont utilisés comme porteporte d'entrée, et Doctolib a prévenu les établissements et les médecins attaqués. On ne sait pas si les patients concernés par ce piratage ont été prévenus.

Depuis sa naissance en 2013, il faut rappeler que Doctolib est considéré comme un « prestataire de service » auprès des établissements de santé et des praticiens, et qu'à ce titre, il se doit de respecter le RGPDRGPD et le règlement très strict sur la collecte des données personnelles et notamment médicales. En conséquence, comme la loi l'exige, la Cnil a été prévenue de l'attaque, et donc de la fuite de données personnelles, tandis qu'une plainte a été déposée à la police.