Plus de 150 000 dossiers de patients français ont récemment été diffusés sur des forums cybercriminels. Si le nom de Doctolib a rapidement été associé à l’incident, les premiers éléments techniques invitaient déjà à la prudence et après confirmation d’un porte parole avec lequel nous nous sommes entretenus, la fuite ne proviendrait pas de la plateforme elle-même, mais de systèmes appartenant à des établissements de santé partenaires.
Données de patients diffusées sur le dark web
Début janvier, plusieurs fichiers contenant des informations personnelles de patients français ont été mis en circulation sur des espaces fréquentés par des cybercriminels. Les données concernées incluent notamment des identités, des coordonnées et des éléments administratifs liés à des parcours de soins.
Au total, un peu plus de 150 000 personnes seraient concernées. À ce stade, aucun élément ne laisse penser que des données médicales détaillées (diagnostics, prescriptions, comptes rendus) aient été exposées, mais la nature des informations diffusées reste suffisamment sensible pour présenter des risques concrets d’exploitation frauduleuse.
Pourquoi Doctolib a été cité
La présence de références à Doctolib dans certains champs de données, notamment dans des adresses électroniques ou des éléments de correspondance, a conduit à une association rapide entre la fuite et la plateforme de prise de rendez-vous médicaux. Cette interprétation a été largement relayée dans les premières heures suivant la révélation de l’incident, alimentant l’idée d’un piratage direct du service. Une lecture plus attentive des fichiers et des circuits de données utilisés dans le secteur de la santé permettait toutefois de nuancer fortement cette hypothèse. Un porte parole du service a par ailleurs rejeté la responsabilité de Doctolib dans cette affaire : « Très fermement, nous ne sommes pas à l’origine de cette fuite. Aucun de nos systèmes n’a été compromis. La fuite provient des systèmes informatiques qui sont ceux des organisations évoquées sur le dark web à savoir un établissement hospitalier et un cabinet d’ophtalmologie, qui sont par définition totalement indépendant de Doctolib. »
Des établissements de santé à l’origine de la compromission
Les analyses techniques disponibles convergent vers un autre scénario. Les données proviendraient de systèmes internes appartenant à deux structures de soins distinctes, et non de l’infrastructure centrale de Doctolib. Dans ce type de configuration, la plateforme agit comme intermédiaire de prise de rendez-vous et de communication, mais les bases de données patients restent hébergées et administrées par les établissements eux-mêmes, ou par leurs prestataires informatiques. Une compromission locale peut donc exposer des informations liées à Doctolib sans que celui-ci soit directement touché.
Le porte parole de la plateforme nous a par ailleurs expliqué l’origine supposée de cet incident majeur :
« Les établissement cités ne sont plus à ce jour clients de Doctolib. Lorsqu’on met fin à une relation contractuelle nous exportons de façon sécurisée la base de données pour que les soignants conservent les données concernant leurs patients et c’est très certainement quand cela a été placé entre leurs mains qu’il y a eu des défaillances. Une fois exportées, ces données sont sous leur responsabilité unique (hébergement, sécurité, conformité et bonnes pratiques.) »
Des risques bien réels pour les patients concernés
Même en l’absence de piratage de la plateforme, les conséquences pour les personnes dont les données circulent sont loin d’être anodines. Les risques identifiés incluent notamment des campagnes de phishing ciblées exploitant des informations crédibles, des tentatives d’usurpation d’identité et des fraudes par téléphone ou par e-mail se faisant passer pour des acteurs de santé.
La vigilance est donc de mise pour les patients susceptibles d’être concernés, en particulier face à toute sollicitation inattendue évoquant un rendez-vous médical, un remboursement ou une mise à jour de dossier.
Un signal d’alerte pour la cybersécurité des structures de soins
Cet incident rappelle une réalité bien connue des spécialistes. Les établissements de santé constituent des cibles privilégiées, souvent fragilisées par des systèmes hétérogènes, des budgets contraints et un manque de ressources dédiées à la cybersécurité. Même lorsque des plateformes nationales ou largement utilisées mettent en place des mesures de protection élevées, la chaîne de sécurité reste dépendante de ses maillons les plus faibles. Une faille locale peut ainsi avoir un impact national, tant en volume de données qu’en perception publique.
