France – Doctolib a été victime le 21 juillet dernier d’un piratage de ses données administratives. Cet acte malveillant survient au moment où l’entreprise française avait annoncé un cryptage inviolable des données de ses utilisateurs.
Intrusion malveillante
Plus de peur que de mal ? C'est le message que l'entreprise de prise de rendez-vous en ligne Doctolib a voulu faire passer dans son communiqué indiquant qu'elle avait été victime d'un piratage le 21 juillet. Un acte qualifié de "malveillant", qui a permis à ses instigateurs d'avoir accès aux informations administratives de 6128 rendez-vous. Doctolib rassure : « aucune donnée médicale n'a pu être lue : aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n'a été concerné ». Et d'ajouter : « aucun mot de passe n'a pu être lu ». Cette intrusion malveillante s'est produite sur des logiciels tiers, et non sur le logiciel de prise de rendez-vous en ligne de Doctolib, ajoute l'entreprise française.
Doctolib poursuit en affirmant qu'aucune donnée administrative n'a fait l'objet, depuis ce piratage, d'une utilisation quelconque. La Commission nationale informatique et liberté (Cnil) a été informée de ce piratage, et une plainte a été déposée au commissariat de police.
Dans un autre communiqué sous forme de questions/réponses, Doctolib précise qu'il n'est pas nécessaire de modifier les mots de passe. Néanmoins, Doctolib a pris contact avec les cabinets de médecine dont les données administratives ont été hackées pour prévenir les patients incriminés.
Enquête et chiffrement
Le piratage des données administratives de Doctolib intervient alors que Doctolib avait annoncé en juin dernier le chiffrement « de bout en bout », afin de mieux sécuriser les données de santé de ses utilisateurs, résultat de sa collaboration avec l'entreprise Tanker, spécialisé dans la cyber sécurité. « Jusqu’à présent, les données personnelles de santé des utilisateurs de Doctolib étaient chiffrées à deux niveaux, en transit et au repos. Le chiffrement de bout en bout garantit que les données personnelles de santé des patients qui utilisent Doctolib ne sont accessibles qu’aux patients et à leurs professionnels de santé en toutes circonstances », expliquait alors Doctolib. Coïncidence ? L’hebdomadaire Télérama venait tout juste de publier, le 16 juillet dernier, une vaste enquête sur la sécurité des données de santé de l'entreprise. En s'appuyant sur les témoignages d'anciens employés, Télérama décrivait « un très léger niveau de sécurité ».
Télérama accusait aussi la plateforme d'avoir fait appel à un hébergeur américain, AWS, pour les données de ses utilisateurs. Laquelle entreprise américaine est soumise au cloud act, qui rend possible la récupération de ses données sensibles par le gouvernement américain.
Doctolib a répliqué à cette enquête, dans un communiqué, en affirmant notamment que « sur le fond, cet article contient des accusations totalement fausses contre Doctolib, en particulier sur 3 points. La protection des données personnelles de santé de nos utilisateurs ; La transparence envers nos utilisateurs ; Le modèle d’entreprise de Doctolib ».
Doctolib a précisé que les données de ses utilisateurs français avaient été cryptées et que, par conséquent, AWS ne pourrait, même en cas d'injonction du gouvernement américain, rendre accessibles les données de ses utilisateurs. Depuis Doctolib grâce à Tanker a crypté de bout en bout les données de ses utilisateurs.
France asso santé réagit
Si les syndicats médicaux n'ont pas réagi à ce piratage, en revanche l'association d'usagers de santé France Asso santé s'est fendue d'un communiqué pour déplorer cet incident : « Ironie du sort ! C’est quand les premiers résultats des ateliers citoyens sur le numérique en santé tombent où les Français exigent une parfaite sécurité de leurs données que Doctolib se fait pirater une partie de ses datas ! Autre fait effarant : le piratage de Doctolib intervient après une annonce presse précisant avoir sécurisé l’outil de bout en bout ! Allons bon : que ce serait-il passé s’ils n’avaient pas pris ces précautions ?!! »
France asso santé en profite pour rappeler aussi que « 300 structures de santé sont concernées par 392 attaques dont 66 mises en danger relevées, avec une croissance significative des attaques par rançongiciels (+40%) des structures de santé ». Et d'ajouter : « seulement 20 % des incidents auxquels les structures de santé sont confrontées seraient déclarés ! »
Autres incidents
Est-ce le seul incident malveillant auquel a été confronté Doctolib ? Il semble que non. Sur le forum de Doctolib, un utilisateur dit avoir reçu, autour du 24 juillet, « de nombreux appels de "personnes" de toute la France qui ne sont pas dans mes contacts patients. Tous ont reçu un mail concernant le déplacement d'un rdv du 14 aout 14h00 au 19 aout 10h00, qui ne les concerne pas, mais qui ne me concerne pas non plus puisque je suis en congé à cette période ». Un autre utilisateur affirme avoir subi le même désagrément. Le community manager de Doctolib répond qu'un « incident est actuellement en cours d'investigation à ce sujet ». Sans préciser si cet incident est en rapport, ou non, avec le piratage du 21 juillet.
Actualités Medscape © 2020
Citer cet article: Doctolib victime d'un vol de données non médicales - Medscape - 5 août 2020.
Commenter