Doctolib constitue une base de données personnelles considérable qui n'est pas exempte de failles. Dans un communiqué publié jeudi 23 juillet, l'entreprise franco-allemande a annoncé que des informations concernant plus de 6.000 rendez-vous médicaux ont été dérobées.
L'attaque a eu lieu mardi 21 juillet et a permis d'«accéder illégalement aux informations administratives de 6.128 rendez-vous». La société assure que ce vol de données n'a pas touché les consultations réservées sur www.doctolib.fr ou «sur le logiciel de gestion de cabinet de Doctolib».
1. Mardi 21 juillet, notre équipe de sécurité a détecté et stoppé un acte malveillant contre Doctolib visant des informations administratives de rendez-vous. Aucun rendez-vous pris sur https://t.co/83E0LFU1vz ni aucune donnée médicale n'est concernée. https://t.co/6qK6Gi8R04 pic.twitter.com/S6R0jihnrT
— Doctolib (@doctolib) July 23, 2020
L'intrusion aurait été circonscrite aux «rendez-vous pris sur certains logiciels tiers connectés à Doctolib». La faille de sécurité ne serait donc pas tant celle du service en lui-même que d'une interface de programmation permettant à des logiciels dédiés à la gestion d'agenda de se connecter à Doctolib.
Ramené au milliers de consultations prévues chaque jour sur la plate-forme, le nombre d'utilisateurs touchés par cette attaque peut sembler dérisoire. Mais l'entreprise franco-allemande dispose de nombreuses informations confidentielles auxquelles les pirates ont pu avoir accès : adresses mail, numéros de téléphone, nom et spécialité des médecins...
Doctolib affirme que certaines données sont restées inaccessibles pour les auteurs de l'attaque. Ce serait notamment le cas des mots de passe et des motifs de rendez-vous.
Une plainte a été déposée et la société a informé la Commission nationale de l'informatique et des libertés (Cnil) à propos de cette faille de sécurité. Dans son communiqué, Doctolib précise que les patients concernés par cette attaque seront contactés.