Sécurité des données - Comment se protéger contre le phishing?

original.png640×299 64.6 KB

Bonjour à tous,

La sécurité des données est au coeur des préoccupations de Doctolib et nous mettons tout en oeuvre pour que vos données et celles de vos patients soient protégées avec notamment le chiffrement de bout en bout ou encore l’anonymisation des emails de notifications. 

Cependant des campagnes de phishing incitant les internautes à communiquer des données personnelles sont courantes. 

Afin de vous protéger contre ces tentatives frauduleuses, ainsi que de protéger vos patients, il est essentiel de bien comprendre de quoi il s’agit et quel comportement adopter.

➡️ Tout d’abord, qu’est-ce que le “phishing”

Le phishing, aussi appelé “hameçonnage” en bon français, est une pratique malveillante très fréquente sur internet qui vise à récupérer certaines informations personnelles d’un internaute. Les tentatives de phishing passent le plus souvent par l’envoi d’un email ou d’un SMS frauduleux, qui imite l'aspect et le contenu d'un email ou d’un SMS officiel adressé par un tiers de confiance (fournisseur d'électricité, banque, services administratifs, etc.) et invite le destinataire à cliquer sur un lien.

En cliquant sur ce lien, l’internaute s’expose alors à la collecte de ses données dans un cadre totalement illégal et à des fins délictueuses.

Ce type d’email ou de SMS n’est pas envoyé par le tiers de confiance en question et n’a aucun lien avec ce dernier. Pour envoyer ces messages, l’émetteur n’a pas piraté la base de données du tiers de confiance : il s’est contenté d’imiter l’aspect et le contenu des emails ou SMS envoyés régulièrement par ce tiers de confiance. 

Ainsi des emails, ressemblant aux emails de rappels de Doctolib, peuvent arriver dans votre boîte email ou bien celle de vos patients. Ils concernent généralement des rendez-vous qui n’existent pas dans votre agenda Doctolib. 

Ils ne sont bien sûr pas envoyés de la part de Doctolib et cela ne signifie pas que vos données ont été piratées.

➡️ Comment identifier une tentative de phishing ?

Le gouvernement et la CNIL (Commission Nationale de l'Informatique et des Libertés) ont publié un certain nombre de recommandations afin de vous aider à identifier les messages électroniques frauduleux :

• Recommandations du gouvernement
• Recommandations de la CNIL

Vous pouvez vérifier l’adresse email de l’expéditeur ou encore les liens de redirection apparaissant au survol de la souris. En effet, les liens apparaissent en bas à gauche de votre navigateur et vous permettent d’identifier si le lien redirige sur le site voulu.

Dans l’email  de rappel ci-dessous, on voit que le lien redirige vers le site Doctolib. De plus il correspond à un rendez-vous que j’ai pris avec mon praticien. Je peux donc cliquer sur le lien en toute confiance.

Phishing.png608×366 149 KB

Lorsque vous ou votre patient recevez un email Doctolib dont vous ne reconnaissez pas les informations, nous vous invitons à ne pas cliquer sur les liens et à supprimer l’email. Pour vérifier vos rendez-vous, il vous suffit de vous rendre directement sur votre compte Doctolib sans passer par l’email.

➡️ Que faire en cas en cas de réception d’un email de phishing ?

Ces emails ne représentent aucun danger pour l'utilisateur néanmoins, il est important de ne pas cliquer sur les liens présents dans ces emails.

Si l’un de vos patients reçoit un email de Doctolib qui ne le concerne pas, conseillez lui de ne pas cliquer sur les liens et de le supprimer. 

➡️ Ce que Doctolib fait contre le phishing

Doctolib, comme toute organisation proposant un service utilisé par des millions de personnes en France, peut faire l'objet de campagnes de phishing. 

Dès que nous sommes alertés de ce type d’acte malveillant imitant l’identité de Doctolib, nous mettons en œuvre plusieurs actions : 

• Nous permettons techniquement aux fournisseurs de services mails de distinguer automatiquement un e-mail Doctolib légitime d’un email frauduleux ;
• Nous prévenons les fournisseurs de services mails ne vérifiant pas la légitimité de nos e-mails afin qu’ils mettent en place les contrôles adéquats.

De plus, nous avons publié une page d’information à destination des patients afin de les sensibiliser sur l'hameçonnage. N’hésitez pas à les rediriger sur cette page en cas de questions.

je n 'y connais rien 

trop complexe 

dejà ca bug tout  le temps avec mon mac et logiciel drsante pour faire la passerelle  au quotidien, epuisant 

si vous me rajoutez ca a controler ca ne va pas

cordlmt

dr betbeder

Bonjour

avez vous prévenu tous les patients utilisateurs de Docotlib ? ou uniquement les praticiens ?

bonjour, oui ce serait bien que les patients soient au courant!

Une campagne d'infirmations? (pouvant regrouper plusieurs thèmes)

Bonjour, votre message n'est pas très clair, on a l'impression en vous lisant, que notre base de données patients peut-être piratée via l'hameçonnage d'un patient ...  ce qui me paraît délirant ou alors il y a un problème avec votre site.

Le phishing via messagerie est une pratique courante et c'est à chacun d'être vigilant et de ne pas cliquer sur n'importe quoi.

oui il est aussi pertinent d'avertir les patients utilisateurs de doctolib 

Bonjour @DrBardetNathal,

Je vous rassure vos bases patients n'ont aucunement été piratée. Il s'agit juste d'email qui resemblent aux emails Doctolib et il ne faut pas cliquer sur les liens ou renseigner quelquonque informations.

Je reste à votre dispositon pour toute information complémentaire.

Bien à vous,

Mélanie

j'ai un mail Doctolib , quand je clique , c'est une annonce SFR

pouvez vous me recontacter stp

Bonjour @DrSTEINPHILIPPE, 

Merci pour votre message.

Ce que vous décrivez est en effet un exemple de phishing. Je vous invite à ne pas cliquer sur les liens et a supprimer l'email.

Je reste à votre disposition pour toute information complémentaire.

Bien à vous,

Mélanie

Bonjour,

Il serait normal que les patients en soient avertis, nombre d'entre eux attendent la réception de l 'email qui confirme en amont leur rendez-vous.

Cordialement

bonjour 

ne peut pas se contenter de rappels par sms? peut etre plus secure

PPAR OUR MOI A PRIORI TOUT CONTACT PAR LIEN EST SUSPECT ET J EFFACE

PAR AILLEURS J ATTENDS VOTRE TPE PERFORMANT CAR INSUFFISANCES DE SEPHIRA INTELLIO

Encore et toujours MERCI DOCTOLIB

Bonjour

Pour se faire pirater sa boite mail il me semble qu'il faut donner le mot de passe de cette boite ; ça parait bête mais ca (dsl pour la cédille) peut arriver par exemple quand on veut s'inscrire en ligne sur n'importe quel jeu ou forum où l'on vous demande de rentrer votre adresse mail et ....... le mot de passe qui va avec et BINGO ; gros soucis à venir : il faut que orange vous envoie par la poste (avec une enveloppe et un timbre ; eh oui) un nouveau mot de passe pour récupérer la boite ; bon courage.

Dr Bernard Furtin 

bonjour

moi j'ai des patients qui m'envoient des mails pour prendre RDV ou poser une question

comment ont ils eu ma mail ?

cordialement

Certains patients ne recoivent plus de confirmation du tout! Rien qu'hier 3 patients qui n'apparaissaient pas dans mon agenda sont venus toquer à ma porte pour leur consultation. La semaine dernière c'était pareil, les patients ne sont pas informés des problèmes de piratage de Doctolib.

Il y a des dysfonctions qui ne sont pas toujours bien gérées, il faut annoncer les patients dans le temps et de  manière efficace quant il s'agit de changement du rendez-vous !

En effet nos patients sur messagerie orange ou wanadoo ne reçoivent plus les confirmations de rendez-vous, mais du coup ils rappellent le secrétariat pour avoir une confirmation que le rendez-vous est bien inscrit ! Ils ne semblent pas être au courant du problème et je dois leur expliquer. Pouvez vous mettre une info sur le site ? Je vous remercie

Quand ce blocage sera-t-il levé ? Notre interlocuteur Doctolib nous avait parlé de début décembre, mais ce n'est toujours pas le cas. C'est vraiment très pénible au quotidien pour la gestion des rendez-vous , en particulier pour les secrétaires qui sont obligées d'envoyer des convocations papiers et de répondre aux nombreux appels des patients qui n'ont pas reçu de confirmation. 

La solution adoptée par Doctolib ne me semble pas adaptée du tout, il faudrait, au plus vite, trouver une autre façon de faire et lever ce blocage très contraignant.

Cordialement.