Technologie

Doctolib envoyait des données de recherche à Facebook et Outbrain


Chez Doctolib, la confidentialité des données médicales n’est pas toujours de mise. En effectuant une analyse de la version allemande de l’application, le site Mobilsicher.de a découvert, avec stupeur, que les recherches effectuées sur la plateforme de réservation étaient envoyées à Facebook et Outbrain. Autrement dit, si un utilisateur tapait les mots-clés « cancer de la prostate » dans la barre de recherche, ceux-ci étaient envoyés tels quels aux deux partenaires, accompagnés de l’identifiant marketing respectif (FacebookID ou MarketerID). Évidemment, l’adresse IP était également transmise, de sorte que ces acteurs pouvaient assez aisément cibler l’utilisateur. Merci pour le secret médical.

Une réaction immédiate

Cette analyse a été réalisée le 18 juin dernier. Le 21 juin, ces échanges n’existaient plus. Alerté par Mobilsicher.de, Doctolib a promptement rétropédalé et supprimé ces deux mouchards. L’explication donnée par la direction de l’éditeur est assez nébuleuse. Ces deux trackers auraient servi à « mesurer le succès » d’une campagne marketing. En revanche, l’éditeur n’explique pas pourquoi il a fallu alors transmettre autant d’informations sensibles. Il n’est pas clair si ces transferts ne concernaient que doctolib.de ou également doctolib.fr. Nous avons vérifié les échanges HTTP pour la version française et n’avons pas pu trouver de connexions vers Facebook ou Outbrain.

Cette affaire met en évidence le risque que peut constituer ce genre d’applications pour les données médicales des utilisateurs. L’éditeur ne cesse de garantir la protection absolue de ces informations, mais comme on peut le voir, on n’est jamais à l’abri d’une mauvaise surprise. D’ailleurs, l’association allemande Digitalcourage a récemment décerné à Doctolib le prix « Big Brother 2021 » pour la gestion peu transparente des données des patients. Quand l’éditeur accueille un nouveau professionnel de santé comme client, la première chose qu’il fait, c’est siphonner sa base de patients. L’usage ultérieur qui est fait de ces données ne serait pas clair.

A découvrir aussi en vidéo :

Enfin, Doctolib a également été épinglé fin 2020 à l’occasion de la conférence rC3 du Chaos Computer Club. Un chercheur en sécurité avait trouvé une faille triviale permettant d’accéder aux données de plus de 150 millions de rendez-vous (date, documents, nom et spécialité des praticiens, nom, sexe et numéro de téléphone du patient…)

Source: Mobilsicher.de


Source link

Afficher plus

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page