Doctolib est la sûrement la plateforme de prise rendez-vous la plus populaire chez les médecins. En effet la startup a su se faire une place dans un monde où la prise de reniez-vous se faisait principalement par téléphone auprès de la secrétaire. En utilisant les technologies du web Doctolib su aider des milliers de personnes et pour cela l’entreprise a dû stocker des données. Or le 21 juillet 2020 des petits malins ont eu accès à l’API de Doctolib et ont en fait usage pour récupérer une flopée d’informations sur près de 6000 rendez-vous.

Un acte malveillant

La plateforme de santé a confirmé sur Twitter être victime d’un acte malveillant le 21 juillet de cette année. Et cela a permis au « pirate » d’accéder à diverses informations administratives concernant plus de 6000 rendez-vous.

On retrouve dans les informations concernées le nom, prénom, sexe, numéro de téléphone et adresse email du patient ainsi que la date de rendez-vous ou encore le spécialiste.

Leak de données à cause des logiciels tiers de Doctolib

Cette fuite de données semble s’être faite par l’API de Doctolib selon ce qu’on peut lire sur Twitter. Ainsi l’attaque a été réalisée sur des rendez-vous pris via des logiciels tiers. En effet certains professionnels de santé utilisent des logiciels qui se connectent à Doctolib.

En outre Doctolib annonce avoir déposé plainte et fait le nécessaire auprès de la CNIL. Dans les fait l’entreprise travaille avec 135 0000 professionnels et 3000 établissement de santé. Et chaque mois le site absorbe plus de 60 millions de visites.

Comment se protéger ?

Have I been pwned permet de controller si nos données ont été hacké ou fuité.

Ce n’est pas le premier site à se faire pirate de la sorte. Bien souvent protégez-vous en vérifiant si vos informations ne se retrouvent pas dans des bases de données vendues en ligne. Have I been pwned est bon outil pour vérifier si adresse email, son compte, son adresse email ou son mot de passe a fuité en ligne. D’ailleurs certains navigateurs comme Brave ou Firefox vérifient cela pour vous automatiquement. Il en est de même pour certains gestionnaires de mot de passe. D’ailleurs si c’est le cas, changez vos mots de passe par précaution et utilisez un mot de passe unique pour chaque service.

Conclusion

On attend de voir ces listes d’utilisateurs se propager sur le web (et surtout le dark web). Même si Doctolib indique qu’aucune donnée médicale n’ait été volée, il n’empêche que ce sont tout de mêmes des données personnelles qui se retrouvent en liberté. Il faut donc faire gaffe à d’éventuelle vol d’identité.