Vous l’ignorez peut-être, mais vos données personnelles, même les plus insignifiantes, peuvent avoir de la valeur dans la cybercriminalité. Comme vous les inscrivez souvent sur vos sites favoris, vous les exposez à des risques de piratages et de fuites. Même si les sites les plus fiables ont un système de sécurité considéré infaillible, il n’y a pas de risque zéro. Récemment, c’est le site Doctolib qui a été victime de piratage.
Doctolib, un site fiable et pourtant…
Doctolib est un site qui veut remodeler le système de santé. Avec plus de 60 millions d’utilisateurs par mois et plus de 135 000 praticiens intervenant chaque jour, le trafic sur le site est très élevé. Les données qui y circulent concernent les prises de rendez-vous, l’agenda des médecins, les fiches de santé des patients… En apparence, ces données ne peuvent pas être utilisées à des fins malsaines, mais avec les pirates, on n’est jamais sûr de rien. D’ailleurs, le site a même indiqué que « rien ne nous permet de conclure à ce jour à une utilisation malveillante de ces informations administratives. »
Dans le communiqué du site, il affirme que l’équipe de sécurité a détecté et stoppé un acte malveillant contre Doctolib, qui a permis d’accéder illégalement aux informations administratives de 6 128 rendez-vous.
Doctolib a suivi à la lettre les règles qui régissent la vie privée des utilisateurs. Le site a aussi rempli toutes ses obligations après l’incident. Selon le RGPD, le site a été dans l’obligation d’informer les autorités compétentes comme la Commission nationale de l’informatique et des libertés ou la CNIL.
Un acte visant le site à 100 %
Ainsi, le piratage a été stoppé à temps avant que les conséquences soient trop graves. Cet acte a voulu atteindre des données plus intéressantes à la revente. Heureusement, il n’a pas atteint la racine du site.
En effet, Doctolib utilise d’autres logiciels tiers pour son fonctionnement. Ce sont ces logiciels qui ont été piratés. C’est pour cette raison que les données médicales des patients n’ont pas été exposées. Ni les motifs des rendez-vous, ni les documents médicaux, ni les informations relatives sur le dossier médical des patients, ni les mots de passe n’ont été touchés.
Des données utiles dans le dark web
Même si les données exposées n’ont aucun intérêt en apparence, elles peuvent être utiles dans le dark web, notamment dans le black market. Nombreuses personnes et entités peuvent être intéressées à acquérir ces données. Rien que pour constituer une base de données, chaque ligne et chaque libellé sont importants.
Ce piratage de Doctolib montre la puissance des cybercriminels. Bien que les sites les plus fiables possèdent un fort système de sécurité, une simple faille peut être profitable pour les pirates. Si c’était un autre site, les résultats auraient pu être différents. Nous tenons donc à vous sensibiliser sur les sites que vous utilisez et surtout sur la sélection des informations que vous allez inscrire sur ces sites. Votre vigilance sera toujours requise surtout s’il s’agit d’un nouveau site.