Si vous avez récemment reçu un mail ou un SMS de Doctolib, méfiance. Les utilisateurs de l’éditeur de logiciels médicaux sont visés par de nombreuses tentatives d’arnaque ces derniers temps, prévient Doctolib.
Le nombre de signalements reçus par l’entreprise sur son adresse mail dédiée (phishing@doctolib.com) a enregistré une hausse marquée depuis deux mois.
Plus de 1000 signalements ont été reçus en mai et près de 900 en juin, selon un graphique que nous a adressé l’entreprise. C’est nettement plus que les années passées : entre juin et août 2024, Doctolib avait reçu moins de 900 signalements.
La promesse d’un remboursement
L’arnaque la plus courante consiste en un message factice évoquant l’éligibilité à un remboursement. « À la suite d’un contrôle de facturation de vos récentes consultations, nous avons identifié un trop-perçu sur le moyen de paiement que vous avez utilisé », est-il mentionné.
Le message reprend les codes de Doctolib : graphisme bleu et blanc et même police d’écriture, ce qui le rend particulièrement crédible.
Il invite l’utilisateur à confirmer ses coordonnées bancaires via un « formulaire sécurisé » pour finaliser le remboursement.
D’autres patients ont aussi reçu un SMS les invitant à confirmer ou déplacer un rendez-vous médical. Sur le site web qui imite le site officiel, les utilisateurs sont alors incités à rentrer leurs coordonnées et identifiants. Il s’agit là aussi d’une tentative d’hameçonnage.
De quoi inquiéter le service, qui compte près de 50 millions de patients en France. Doctolib recommande donc à ses utilisateurs de bien vérifier l’authenticité du message reçu. Par SMS, les messages authentiques doivent afficher comme expéditeur « Doctolib ». Ils ne proviendront jamais d’un numéro personnel. Par e-mail, les messages de Doctolib concernant les rendez-vous pris sont envoyés depuis l’adresse « no-reply@doctolib.fr ».
D’autres e-mails marketing peuvent être reçus depuis les adresses suivantes :
no-reply@email.doctolib.com; no-reply@infos.doctolib.com ; no-reply@news.doctolib.com.
Sur Gmail et Yahoo, ils sont marqués d’un badge de vérification bleu.
Tout autre expéditeur ne doit pas être pris au sérieux, notamment si le courrier est arrivé dans le dossier Courrier indésirable de votre messagerie.
En cas de message suspect, il ne faut surtout pas cliquer sur un lien, mais signaler et supprimer le message. « En cas de doute, vous pouvez consulter l’ensemble de vos rendez-vous pris en ligne pour vous et vos proches sur votre compte Doctolib afin de vous assurer de leur authenticité », rappelle enfin la plateforme.
Info du 09/07/2025
L’acceptation de tous les URL sans vérification rend le Web dangereux. Je ne comprend pas que l’UE ne crée pas une centralisation des URL avec obligation de déclaration du créateur et vérification de son identité et de sa solvabilité si c’est un site marchand. Ça éviterait toutes ces arnaques.