• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Parcours de soins > Comment Tanker sécurise les données personnelles de Doctolib

Comment Tanker sécurise les données personnelles de Doctolib

Alors qu’il subissait une fuite de données administratives l’été dernier, Doctolib planchait déjà depuis deux ans sur une technologie de chiffrement de bout en bout des données personnelles qui transitent via ses services. Technologie proposée par la start-up française Tanker et qui sera progressivement déployée auprès des 40 millions d’utilisateurs du spécialiste du rendez-vous médical en ligne. Doctolib et Tanker ont accepté de détailler ce projet auprès de mind Health.

Par . Publié le 18 janvier 2021 à 16h13 - Mis à jour le 19 janvier 2021 à 18h02
  • Ressources

Au mois de juin 2020, Doctolib a annoncé que, désormais, les données personnelles de santé de ses utilisateurs seront chiffrées de bout en bout (lire encadré ci-dessous). Un travail mené avec Tanker, une start-up française créée en 2015 qui s’est donnée pour mission de “démocratiser” l’usage du chiffrement et de la cryptographie. Et qui aura duré plus de deux ans : “nous échangeons depuis 2017 avec les équipes de Tanker, dont la technologie de chiffrement de bout en bout nous semblait intéressante”, précise Doctolib à mind Health. En effet, Clément Ravouna, président de Tanker, explique qu’il cherchait à l’époque “un partenaire qui nous accompagne sur la partie infrastructure pour nous crédibiliser au maximum”. Aloïs Jobard, son chief technology officer (CTO), développe : “le travail s’est vraiment fait dans les deux sens. Au départ, nous avions mis au point un produit de sécurisation de Dropbox : Tanker chiffrait les fichiers avant qu’ils n’arrivent dans Dropbox, via un protocole de chiffrement de bout en bout. (…) Sur cette base, nous avons rencontré quelques soucis d’intégration avec Dropbox : nous étions un hack de sécurité, nous nous mettions autour. Cela posait des problèmes d’expérience utilisateur : certaines opérations devaient être effectuées en double parce que nous n’arrivions pas à nous intégrer suffisamment dans l’application hôte. Nous en avons conclu qu’il fallait que ce type de sécurité ne se positionne pas autour mais à l’intérieur.”

“Doctolib nous a beaucoup challengé”

La transition s’est faite en 2017, soit deux ans après la naissance de Tanker. “Une telle solution n’existait pas alors sur le marché, souligne Aloïs Jobard. Début 2017, nous avons décidé d’extraire le cœur de notre produit Dropbox et de le transformer, en gardant la technologie, en un SDK (software development kit), à savoir une librairie logicielle, utilisable par un développeur pour qu’il puisse appliquer le chiffrement de bout en bout dans son application. Il nous a fallu plus de six mois pour transformer le produit.” C’est cette toute première version, fournie début 2018, que Doctolib a d’abord essayée. “Puis Doctolib nous a envoyé en retour un cahier des charges, poursuit Aloïs Jobard. Nous sommes revenus vers eux un an, un an et demi plus tard, le temps de développer des fonctionnalités additionnelles pour fluidifier l’expérience utilisateur, pour rendre le chiffrement invisible aux utilisateurs finaux et pour que le produit soit utilisable dans n’importe quelle application grand public sans en impacter la performance, toujours en garantissant que ni les développeurs, ni les clients providers, ni Tanker ne puissent déchiffrer les données. Notre challenge consistait à trouver une solution qui satisfasse les développeurs de Doctolib. Après cela, nous avons pu avancer avec eux dans l’intégration de Tanker au sein de leur application. Et nous continuons à améliorer notre solution itérativement.” Douze à quinze personnes ont été mobilisées sur ce projet.

Le SDK de Tanker est disponible en open source. “Il nécessite quelques lignes de code côté client, précise Clément Ravouna. Ce SDK communique avec une infrastructure de clé publique qui est propriétaire de Tanker.” Aloïs Jobard ajoute que “les serveurs de Tanker stockent les clés et opèrent les échanges entre les utilisateurs des différentes clés. C’est le service que nous rendons. Nous fournissons les librairies de chiffrement qui sont open source et s’exécutent côté client dans leur application et nous fournissons l’infrastructure de clé. Un développeur installe la librairie dans son application, l’utilise pour chiffrer de la donnée et la partager entre ses utilisateurs. Le protocole Tanker permet de distribuer les clés, faire en sorte que les bonnes personnes aient accès aux clés de chiffrement aux bons moments, sans avoir accès à ces clés. Pour l’utilisateur final, c’est complètement transparent”. Tanker collabore avec les développeurs pour les aider dans la mise en place de la solution. 

Si, durant l’année 2018, la start-up a développé des POC (proof of concept) avec une vingtaine de sociétés, en 2019 elle a choisi de se consacrer à la health tech. “Pour trois raisons essentielles, explique Clément Ravouna : il est difficile de dire que la donnée de santé n’est pas une donnée sensible, les sociétés de télésanté de manière générale ne sont pas des sociétés technologiques mais de service et utilisent la technologie comme un support, enfin ces sociétés de télésanté sont très largement financées et le moindre data leak contredirait leur croissance.” Le CEO de Tanker admet que le travail “n’a pas a été facile : Doctolib nous a beaucoup challengé”. Fin 2019, un accord est trouvé avec le spécialiste de la prise de rendez-vous médical en ligne et un contrat est signé entre mars et avril 2020. Doctolib a alors “estimé que la solution proposée par Tanker était suffisamment aboutie et a décidé de l’implémenter au service de l’ensemble de ses utilisateurs”.

Le déploiement peut prendre “jusqu’à un an”

Le travail ne s’arrête pas là : ce choix de généraliser la solution de chiffrement de bout en bout de Tanker, “sur toute la plateforme et sur tous les nouveaux produits” de Doctolib précise Clément Ravouna, peut prendre “jusqu’à un an”. Aloïs Jobard détaille le processus : “la première donnée identifiée (comme devant être chiffrée de bout en bout, ndlr), ce sont les documents échangés entre patients et médecins. Doctolib n’opère aucun traitement dessus, la donnée est ultra sensible, il a donc été décidé de chiffrer de bout en bout. Derrière, de nombreuses questions se posent : avec qui doit-on partager ces données ? le médecin ou le secrétaire ? Des groupes doivent être constitués, du côté également des patients pour des membres de leur famille, ces groupes doivent être interconnectés, patients et médecins doivent vérifier l’identité de ces groupes, etc. Toutes ces questions doivent être déployées auprès de 40 millions d’utilisateurs : cela relève de l’ingénierie et nous parlons là uniquement d’un déploiement initial sur un petit périmètre. Ensuite, un travail de classification des données doit être effectué, qui lui aussi devra être implémenté avec les interactions qui peuvent différer selon le type de données. C’est un déploiement à grande échelle. Nous onboardons plusieurs dizaines de milliers d’utilisateurs actuellement (l’interview a eu lieu en octobre 2020, ndlr) et le rythme va s’accélérer. D’ores et déjà, sur des utilisateurs onboardés, il y a du chiffrement de bout en bout. Dans un second temps, nous étendrons le chiffrement de bout en bout à de plus en plus de données”.

100 % des données ne seront pas concernées

Car l’intégralité des données personnelles qui transitent par Doctolib ne sera pas forcément concernée par cette couche de sécurité. Doctolib évoque certes “une règle radicale” dans sa communication parce qu’il “souhaite se couper l’accès à certaines données dont il n’a pas besoin pour fonctionner”, précise Aloïs Jobard. Pour autant, un acteur peut continuer à travailler avec ses données : “il faut comprendre que Tanker ne propose pas une solution magique qui s’installe et va chiffrer toute la donnée. Notre solution chiffre stratégiquement les données sensibles les plus importantes. Ce travail nécessite un travail de classification du client qui va lister toutes les données récupérées, transférées, stockées. Pour telle donnée ultrasensible, il peut décider de faire un compromis et d’arrêter d’effectuer tel traitement dessus. Pour telle autre donnée, il peut indiquer qu’il en a besoin et qu’il n’est pas possible de la chiffrer. D’autres actions peuvent alors être choisies comme de l’anonymisation forte : le client ne pourra pas désanonymiser la donnée. Enfin pour telle donnée, peu ou pas sensible, le client décidera de la laisser en clair. La technologie n’est donc pas appliquée sur 100 % des données, c’est au cas par cas”. Dans le cas de Doctolib, le CTO indique que l’opérateur “est sur une posture où tout ce qui est sensible, même de loin, sera chiffré”. 

Interrogé sur le sujet, Doctolib répond en effet à mind Health, sans pour autant entrer dans les détails, que “le chiffrement de bout en bout est appliqué au maximum de données possibles. Une exception concerne les données administratives telles que l’adresse mail, le nom et le numéro de téléphone qui, pour le bon fonctionnement du service, ne peuvent pas être chiffrées de bout en bout mais pour lesquelles d’autres mécanismes de chiffrement sont mis en place : le chiffrement au repos de la base de données (‘encryption at rest’), le chiffrement des espaces de stockage et des disques, ainsi que le chiffrement des connexions”. Quoi qu’il en soit, pour les données concernées, ni Doctolib, ni Tanker ne peuvent accéder aux clés de chiffrement et ne pourraient pas déchiffrer ces données s’ils les avaient. “C’est la ligne rouge, souligne Aloïs Jobard. Et c’est important pour moi. Nous n’y dérogerons pas.”

En attendant que le déploiement du chiffrement de bout en bout chez Doctolib arrive à son terme, la vérification de l’identité du patient est déjà devenue obligatoire “lors de la deuxième prise de rendez-vous en ligne”, indique Doctolib. Aloïs Jobard explique en effet que “Tanker a besoin, pour fonctionner, de vérifier l’identité du patient, indépendamment de Doctolib, et pour garantir que Doctolib ne peut pas accéder aux données du patient (concernées, ndlr). C’est ce que fait cette vérification, seule partie visible du chiffrement, par e-mail”. Vérification qui permet d’activer, côté patient, le chiffrement de bout en bout. 

Une surface d’attaque réduite de 90 %

En faisant le choix de cette technologie, Doctolib pourra-t-il à l’avenir éviter une fuite de données comme celle survenue l’été dernier ? “Il n’existe pas de chiffrement absolu, tempère Aloïs Jobard. D’ailleurs Doctolib effectuait déjà du chiffrement at rest (ou au repos, ndlr). Toutes ces mesures servent à réduire la surface d’attaque. Si on imagine une base de données dans le cloud sans protection, la facilité est grande, l’impact est grand – vous avez accès à toutes les données d’un seul coup – et donc la surface d’attaque est maximale. Avec le chiffrement at rest, les données sont dans une base de données avec des clés que les serveurs de Doctolib gèrent. L’attaque devient beaucoup plus difficile mais l’impact reste le même. Avec le chiffrement de bout en bout, il faut accéder à la base de données pour récupérer les données chiffrées puis, pour chaque utilisateur, il faut aller récupérer les clés de chiffrement en hackant individuellement les e-mails. La difficulté n’est pas beaucoup plus grande sur un utilisateur donné mais, sur l’ensemble des données, cela devient impossible à réaliser. Et ce ne serait pas rentable pour un attaquant. L’accès est très fortement réduit ; on rend en pratique une fuite de données massive quasi impossible. Tanker rend ainsi l’impact d’une attaque très faible.”

Doctolib estime de son côté avoir réduit la surface d’attaque “de 90 % grâce à Tanker. Il faut être honnête et transparent, poursuit la société : nous avons mis en place les plus hauts standards de sécurité mais le risque zéro n’existe pas. Nous sommes extrêmement vigilants et nous investissons énormément sur le sujet de la sécurité qui est notre priorité numéro 1”. Le budget en la matière est évalué à “plusieurs millions d’euros par an”. De son côté, après avoir signé avec Doctolib, Tanker a contractualisé avec l’assureur en ligne Alan en fin d’année dernière. Même principe : les informations échangées sur le chat médical entre les adhérents Alan et l’équipe médicale de l’assureur ne sont plus accessibles à Alan, ni à Tanker ou aux hébergeurs. “L’usage que fait Doctolib de Tanker est celui que toutes les sociétés en feront, déclare Clément Ravouna. Nous avons fait en sorte que notre SDK open source soit très facile à utiliser par les développeurs, universel et implémentable en deux semaines.” Pour le moment concentré sur la health tech donc, il évoque “d’autres références sur ce marché, pas encore publiques”, en France et, “cela commence”, à l’étranger. Les objets médicaux connectés sont également en ligne de mire pour 2021.

Chiffrement en transit, au repos… quèsaco ?

S’“il n’existe pas de chiffrement absolu”, pour reprendre les termes d’Aloïs Jobard, CTO de Tanker, le chiffrement numérique de bout en bout des données est considéré “aujourd’hui comme la meilleure méthode existante pour protéger de l’information qui circule entre deux personnes, indique-t-il. Utilisé dans des applications type Telegram et Signal, il garantit que seuls ces interlocuteurs ont accès aux données échangées”. 

Le chiffrement de bout en bout est l’une des deux façons de chiffrer les données en transit, à savoir entre l’expéditeur et le destinataire : envoi d’un message via une application, navigation sur le web… L’autre méthode est le chiffrement de la couche de transport : les données sont protégées lors de leur transit, à savoir – schématiquement – entre l’appareil émetteur et le serveur de l’application utilisée, puis entre ce serveur et l’appareil du destinataire. L’exemple le plus connu est la mention “HTTPS” (HyperText Transfer Protocol Secure) sur les navigateurs. Mais le serveur de l’application (ou le site web parcouru) peut déchiffrer le message, avant de le chiffrer à nouveau pour l’envoyer au destinataire.

Le chiffrement de bout en bout s’assure justement que seul le destinataire pourra décoder le message. Il s’oppose au chiffrement au repos ou at rest, qui concerne des données qui ne sont pas déplacées mais qui sont stockées (sur un ordinateur, un serveur…). Les données au repos peuvent être protégées en chiffrant le disque entier, certains fichiers, les données d’une zone de stockage précise ou tout cela à la fois.

Enfin, le chiffrement des données en transit ne protège pas forcément les métadonnées. “Ce n’est pas forcément le but de Tanker, indique d’ailleurs Aloïs Jobard. Notre but est de protéger la confidentialité des échanges mais les métadonnées en elles-mêmes ne sont pas nécessairement concernées. Considère-t-on cela dit que les métadonnées sont des données sensibles, à impact, etc. ?”

  • Cybersécurité
  • Données de santé
  • Rendez-vous

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

À lire

Tanker a sécurisé la messagerie d'Alan

Cybersécurité : fuite de données chez Doctolib
Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nous contacter
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025
  • Twitter
  • LinkedIn
  • Email