Fuite de données concernant le service de prise de rendez-vous Doctolib

Le mardi 21 juillet 2020, le service de prise de rendez-vous en ligne Doctolib a subi une attaque depuis un compte patient créé pour l'occasion. L’attaquant a pu exploiter une faille dans le code de l’application web qui lui a permis, via l’envoi de requêtes aléatoires, d’accéder illégalement à environ 6000 rendez-vous de patients. Ces paramètres étaient transmis à la base de données de prises de rendez-vous de Doctolib par des connecteurs (logiciel tiers) sous la responsabilité des structures de santé. 

Les données qui ont potentiellement été violées sont les suivantes : le nom, le prénom, le sexe, le numéro de téléphone et l’adresse email du patient, ainsi que la date de rendez-vous, le nom et la spécialité du professionnel de santé concerné par le rendez-vous. Plus d'une centaine de structures de santé disposant d’un connecteur vers la base de données Doctolib pour la prise de rendez-vous sont concernées.  Aucun rendez-vous pris directement depuis le service en ligne Doctolib n’a pu être consulté illégalement dans le cadre de cette attaque.

Doctolib a réagi très rapidement à l’attaque en bloquant le compte de l’attaquant, en identifiant la faille le jour même et en la corrigeant dès le 21 juillet à 20h sur ses environnements de production. L’entreprise a par ailleurs fait une déclaration à la Commission Nationale Informatique et Libertés (CNIL) et déposé une plainte auprès de la police.

Elle a également publié un communiqué sur son site internet dès le 23 juillet.

Doctolib déclare avoir prévenu l’ensemble des structures de santé concernées par cette attaque. Pour celles-ci, d’après les informations fournies par l’entreprise, il n’y a pas lieu de procéder à des modifications spécifiques de leur système de prise de rendez-vous ni de réinitialiser les informations de connexion au service de rendez-vous en ligne. Toutefois, dans la mesure où il y a eu violation de données à caractère personnel, il serait judicieux de prendre contact avec les patients concernés afin de les en informer. Pour cela, les structures ayant été contactées par Doctolib au sujet de cette fuite de données peuvent demander l’identification de l’ensemble de leurs patients victimes de cette attaque.

A ce jour, aucune information ne permet de conclure à une utilisation des données concernées par l’attaque.