C'est le cauchemar de tout service de santé connectée : le vol de données. Doctolib, leader français de la prise de rendez-vous et des téléconsultations, vient d'en faire l'amère expérience. Jeudi 23 juillet, la startup française a annoncé avoir été victime d'un piratage "visant des informations administratives de rendez-vous", c'est-à-dire le nom, le prénom, l'âge, le sexe, le numéro de téléphone et l'adresse courriel du patient, ainsi que la date du rendez-vous, le nom et la spécialité du médecin. Des informations très sensibles. Cet "acte malveillant" a concerné 6.128 rendez-vous.

Lire aussi : Coronavirus : explosion des téléconsultations en France, Doctolib grand gagnant

Doctolib attaqué via les logiciels tiers qui se connectent à son service

Dans le détail, la fuite de données qui a permis d'accéder illégalement aux données personnelles concernant plus de 6.000 rendez-vous, a été détectée, puis immédiatement stoppée, le mardi 21 juillet par les équipes de Doctolib. Les attaquants n'ont pas réussi à pénétrer le service en tant que tel, c'est-à-dire les rendez-vous pris directement sur le site www.doctolib.fr ou sur le logiciel de gestion de cabinet de Doctolib. Ils ont exploité des vulnérabilités de certains logiciels tiers connectés à Doctolib par des API, des interfaces de programmation.

Malgré la sensibilité des données volées -notamment le nom, le numéro de téléphone et l'adresse courriel-, Doctolib affirme "qu'aucune donnée médicale n'a pu être lue : aucun motif de

Lire la suite