Doctolib : les données de plus de 6000 rendez-vous dérobées

Sécurité

Par Antoine Gautherie le

Doctolib, la plateforme de mise en relation entre professionnels de santé et patients, a annoncé hier avoir été victime d’un vol de données concernant 6128 rendez-vous médicaux. Une attaque de petite ampleur, mais qui rappelle l’exposition de ces nouveaux services en rapport avec la santé numérique, à une époque où ils sont amenés à devenir omniprésents.

© National Cancer Institute – Unsplash

Doctolib, la plateforme permettant de prendre rendez-vous avec de nombreux professionnels de santé, a annoncé jeudi 23 juillet avoir été victime d’un vol de données. Dans un communiqué, l’entreprise explique que les pirates ont pu “accéder illégalement aux informations administratives de 6128 rendez-vous”. Plus spécifiquement, cette attaque ne visait pas le site de Doctolib à proprement parler mais l’API de la plateforme, qui permet à des applications tierces d’utiliser ses fonctionnalités, par exemple pour prendre un rendez-vous. Ni le site, ni l’application Doctolib à proprement parler ne sont donc concernés par cet accès illégal : les données en question proviennent de “logiciels tiers connectés à Doctolib”. Dans son communiqué, le service de communication de la plateforme explique que ces informations n’auraient pas été altérées. Doctolib explique néanmoins avoir identifié la source, informé la CNIL, porté plainte à la police et contacté les établissements concernés dans le cadre de ses procédures de sécurité.

La médecine numérique, une cible de choix pour les pirates

Avec le développement de nouvelles technologies de communication, le milieu de la santé est en train de connaître lui-aussi une forme d’ “ubérisation”. Mais ce constat enthousiasme autant qu’il inquiète : si la perspective de pouvoir être soigné avec moins de contraintes logistiques représente une avancée considérable, elle s’accompagne aussi de nombreuses questions en termes de cybersécurité. Il est déjà de notoriété publique que les données médicales sont très prisées des pirates et conservées sur des systèmes complètement obsolètes. C’est pour cette raison que de nombreuses structures comme des hôpitaux ont été ciblées par des attaques de toutes sortes, comme pendant les terrifiantes vagues de ransomwares qui ont déferlé sur les hôpitaux américains en 2016 et 2019. À l’heure où les malwares Android prolifèrent à une vitesse vertigineuse, la sécurité de ces nouvelles plateformes de santé est une question massive qui ne va certainement pas s’amenuiser à l’avenir.

Il faut donc espérer que ces considérations ne passeront pas au second plan derrières les velléités expansionnistes de start-up qui brassent beaucoup d’argent. Doctolib, par exemple, est l’une des rares licornes (les champions des start-up, valorisés à plus d’un milliard d’euros) européennes, ce qui témoigne bien de l’ampleur de ce marché. Et s’il était déjà clair que ces questions allaient prendre une place cruciale dans les années à venir, c’est d’autant plus évident que la pandémie de Covid-19 pourrait bien propulser la télémédecine sur le devant de la scène plus vite que prévu. Un virage qu’il faudra impérativement négocier avec beaucoup de précautions, sous peine de laisser des brèches béantes qui pourraient mener à des vols de données de très grande envergure.

Source: Doctolib