J'ai regardé le fonctionnement de l'appli @doctolib pour voir à quel point ce que dit https://t.co/f58GYsQR0u est vrai (ou non).

Ce que j'observe:

1. Doctolib leak des méta-données à Cloudinary en utilisant le service pour charger les miniatures des practiciens dont la page est consulté dans l'application. Exemple de miniatures chargées sur le service via cloudinary: https://t.co/AC2ZdtoSId

Il serait donc donc possible pour cloudinary de détecter quelles sont les images chargées et donc d'associer un profil médical (cette personne charge des images liées à un chirurgien dentiste, à un centre de recherche contre le cancer) à une adresse IP, par exemple.

Certaines données précises (rendez-vous, noms de practiciens) ne semblent pas envoyées à Amazon: le certificat est bien celui de Doctolib, en tout cas pour "appointsments.json" qui contient ces informations (via l'application Android, toujours), mais………… https://t.co/BmhgRseoZH

Effectivement, Doctolib envoie des données (ou plutôt méta-données) directement à amazon qui contiennent des informations sur l'état de santé du patient. Exemple ici avec le domaine https://t.co/LfXXnduh5l, qui abrite un site derrière un certificat amazon, qui leake une recherche https://t.co/xtlyTjaONm

Donc, oui, @franceinter a plutôt raison.

(notons que, oui, le fichier "appointments.json" n'est pas envoyé à Amazon, que le certificat semble ok, mais ça n'est pas suffisant) https://t.co/I7KbafWuWz