Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


1PassWorld

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
01.03.2015 - 00h00 - Paris - (Assiste - Pierre Pinard) - Ajouté Infogreffe et BODACC - Ajouté un message à l'attention des sites marchands

1PassWorld - un service qui offre de conserver toutes vos données personnelles, et de les protéger par un mot de passe unique, pour vous permettre d'aller sur des sites marchands sans avoir à ressaisir toutes vos données les plus privées.

1PassWorld1PassWorld1PassWorld

1PassWorld est un service qui fait sa publicité en inscrivant des messages publicitaires sur les forums (vu le 26.02.2015 sur un forum ami - un modérateur ayant détruit le message aussitôt mais copie ci-après).

1PassWorld fait furieusement penser à Microsoft Passport et tous les systèmes dit de Single sign-on.

Strictement aucun soupçon ne pèse sur 1PassWorld. C'est le principe du Single sign-on qui est montré du doigt.

L'échec de Microsoft Passport, dont tous les affiliés (les sites marchands sur lesquels il était possible de s'inscrire avec le seul identifiant et mot de passe Passport, Passport se chargeant de communiquer toutes les autres informations aux affiliés, avec toutes les fuites d'informations et les scandales qui ont accompagné Passport) ont quitté le navire, n'a pas servi de leçon.

Spam des forums de discussion le 26.02.2015 par 1PassWorld

Bonjour,

Connaissez-vous (lien 1PassWorld) ?

C'est un service pour vous connecter sur tous les sites avec un seul identifiant et un seul mot de passe. Une clé à 6 chiffres (réception 1 seule fois par SMS) sécurise votre connexion.

De plus, lors d'un achat ou d'une commande, vous n'avez plus à remplir vos coordonnées. Nous les transmettons directement au site. C'est plus simple et plus sécurisant pour vous pour évoluer sur le net.

Plus de précisions : (lien 1passworld)

Dites nous ce que vous en pensez et inscrivez-vous : (lien 1passworld)

Ce service est gratuit. Plus il y aura d'inscrits, plus il y aura de sites utilisant cette solution et plus votre vie sur le web sera simplifiée...

Nicolas B.

Par ce type de message, il faut comprendre que le service est naissant et qu'il ne dispose que de peu ou pas d'affiliés.

On peut lire, sur le site 1PassWorld :

"Nous vous offrons votre 1ère Clé."

Il faut donc en conclure que le " service " est payant.

Une phrase remarquable du message de spam des forums est :

On peut lire, sur le site 1PassWorld :

"Plus il y aura d'inscrits, plus il y aura de sites utilisant cette solution"

Il faut entendre par là : "Plus nous aurons d'utilisateurs de notre service et plus 1PassWorld pourra attirer des sites marchands affiliés, donc plus 1PassWorld gagnera de l'argent". On ne peut pas critiquer une bonne idée, celle qui consiste à lancer un service qui va " rouler tout seul " et rapporter de l'argent en restant dans son fauteuil. C'est une très bonne idée.

Encore une fois, ce n'est pas 1PassWorld qui est en cause, c'est le principe du Single sign-on qui est une folie, sous prétexte de flatter la paresse de l'utilisateur. On ne peut oublier, le Web étant un panier de crabes, que le seul et unique but d'un large nombre de services sur le Web est le besoin frénétique, maladif, de pécher touches nos informations, dont bancaire, de localisation, mots de passe, profils, catégorie socio-professionnelle, etc. ... Et là, avec 1PassWorld, c'est très simple : on les leur donne !

Une seule règle sur le Web : vivre caché.

Enfin, le risque zéro n'existant pas (et il n'existera jamais), c'est une autre bonne raison pour vivre heureux en vivant caché, sans jamais approcher les systèmes dit de Single sign-on comme 1PassWorld.

Avec ce genre de service, on est très au-delà du Tracking.

Analyse de 1PassWorldAnalyse de 1PassWorldAnalyse de 1PassWorld

1PassWorld est une société française, régulièrement déclarée au registre du commerce et des sociétés. Elle ne se cache pas et n'est pas localisée dans une zone de non-droit du Web. C'est une société toute jeune (août 2014) et l'analyse qui suit, critique, est peut-être celle d'erreurs de jeunesse.

Avec 1PassWorld, la sécurité des données est contractuellement annoncée grâce à des communications selon le protocole HTTPS avec chiffrement SSL. Et alors... ! Cela ne concerne que le transport des données, de l'ordinateur de l'utilisateur aux serveurs de 1PassWorld. Cela gêne un peu un attaquant qui voudrait s'y prendre avec une attaque de type Man in the Middle, rien de plus.

La " clé "
Il y aurait un bon point dans la démarche de 1PassWorld : la " clé ". S'il s'agit réellement du contrôle d'accès aux données du service 1PassWorld, depuis l'extérieur (depuis le Web), avec une double authentification spécifique à 1PassWorld, ce serait une bonne idée. La " clé " serait un code aléatoire, à usage unique, envoyée sur le smartphone de l'utilisateur au moment où celui-ci tente de se connecter sur son compte. L'utilisateur devrait saisir ce code pour pouvoir poursuivre sur le service de 1PassWorld, afin de prouver qu'il est bien celui qu'il prétend être. Malheureusement, les clauses d'usage du site 1PassWorld sont tellement vagues qu'il pourrait, en fait, tout simplement s'agir de la double authentification normale des cartes bancaires 3D Secure (comme le code " Certicode " de VISA) que 1PassWorld s'attribuerait, ce qui serait un foutage de gueule, car ce code serait demandé par la plateforme de paiement du site affilié, ce qui n'a strictement rien à voir avec 1PassWorld !

Rappel : le Certicode des cartes bancaires 3D Secure

Saisir un code à usage unique. Double authentification forte.
Un code à usage unique (code jetable) est reçu par SMS (sur un smartphone) ou par synthèse vocale (sur un téléphone fixe) au moment de l'achat. Vous devez l'indiquer à la plateforme de paiement en ligne qui le vérifie.

Les clauses contractuelles floues :

  • Pas un mot sur le stockage des données sur leurs serveurs.
  • Pas un mot sur l'impossibilité totale d'accès aux données par le personnel de 1PassWorld.
  • Pas un mot sur la possibilité de faillite de 1PassWorld et du sort des bases de données dans ce cas.
  • Pas un mot sur la possibilité de rachat de 1PassWorld par une autre société et de la possibilité de contrôle et d'effacement total des données d'un utilisateur dans ce cas.
  • Pas un mot sur le droit à l'oubli, incluant les données en ligne et tous les backups, copies de sécurité, etc. ...
  • Pas un mot sur la nature de leurs serveurs (technologie, géolocalisation).
  • Pas un mot sur la garantie absolue qu'aucune donnée ne sera jamais hébergée hors de France.
  • Etc. ...

Quant aux tests quotidiens par Qualys, revendiqués dans les clauses de 1PassWorld, (Qualys est une société de services fiable ayant pignon sur rue), comme tous les scanners de failles de sécurité que l'on peut mettre en œuvre soi-même lorsque l'on a la structure suffisante (un directeur du service informatique et de la sécurité, etc. ...) pour surveiller sa sécurité (les outils comme Metasploit, HTTPCS, Nessus, OpenVAS, BoomScan, Nikto2, Wapiti, etc. ...), ils ne concernent que les échantillons (patterns) des failles de sécurité connues.

Enfin, le " service " 1PassWorld consiste en une intermédiation qui tente de capter et fidéliser des visiteurs pour les faire rebondir vers des sites marchands pour lesquels 1PassWorld agit en apporteur d'affaires (on appelle cela de l'Affiliation - l'une des formes de monétisation d'un site Internet, dans le monde du Web). Se simplifier la vie et être paresseux au point de donner ses informations les plus privées et secrètes à un service externe flou est une pure folie qui n'a aucune justification.


Dernière minute :

En recherchant d'autres informations sur 1PassWorld, un message à l'adresse des sites marchands, sur un forum s'adressant aux webmasters, laisse perplexe : l'utilisateur clique sur un logo 1PassWorld se trouvant sur le site marchand affilié. Le serveur du site marchand se retourne vers le serveur de 1PassWorld qui envoie un code SMS à l'utilisateur. Celui-ci reçoit et saisit ce code. Si OK, 1PassWorld envoie les données de l'utilisateur au site marchand. Mais les données bancaires ne seraient pas stockées sur les serveurs de 1PassWorld, donc, il faut les ressaisir. D'autre part, la clé ne serait pas un code à usage unique mais choisi par l'internaute et ne serait envoyé / demandé qu'une fois, lors de la première connexion de l'utilisateur au site marchand. Tout cela n'est pas très clair.

Le chiffrement se fait en AES 256 qui n'est pas cassé à ce jour.

Message de 1PassWorld adressé aux sites marchands : 27-01-2015

Découvrez notre nouveau service et installez-le gratuitement sur votre site pour accéder à un nouveau réseau d'internautes : https://www.1PassWorld.com

1PassWorld.com est un service qui a pour vocation d'augmenter le taux d'inscriptions et de commandes sur les sites tout en simplifiant et en sécurisant la vie des internautes.

Le système actuel a ses limites.
Depuis plus de 20 ans qu'existe l'internet, nous utilisons un système de connexion devenu obsolète en matière de sécurité des données personnelles.
Les internautes ne peuvent plus retenir des mots de passes différents et complexes pour sécuriser leurs connexions sur des dizaines de sites.
De plus, les sites doivent en permanence augmenter leur niveau de sécurité pour éviter de se faire pirater leurs bases.

1PassWorld.com mutualise le système de connexion.
Chaque site peut gérer ce système de connexion avec l'envoi d'un SMS mais cela implique l'envoi d'un SMS à chaque connexion. Le coût peut s'avérer élevé pour les sites et complique la procédure pour l'internaute.
En confiant la gestion des identifications à 1PassWorld.com (complémentaire à votre système actuel), vous n'augmentez pas vos charges et la connexion est simplifiée.

Un système de connexion en 2 clics.
Pour s'identifier, l'internaute clique sur le logo de 1PassWorld et tape son code à 6 chiffres sur un pavé numérique (le mot de passe et l'identifiant sont à renseigner uniquement lors de la 1ère connexion ou lors de changement de terminal - cookies de session)

Un système sécurisé.
Les données que nous sauvegardons dans la bases concernent uniquement les coordonnées des internautes. Nous ne conservons pas les informations bancaires.
Toutes les données sont cryptées en AES 256 par internaute.
L'utilisation de 1PassWorld nécessite l'installation (simple et rapide) d'une API unique à chaque site qui crypte l'échange des données entre le site et les serveurs de 1PassWorld.
Pour augmenter son niveau de sécurité l'internaute peut à tout moment changer sa clé.
Une master clé (code à 4 chiffres défini par l'internaute dans l'espace utilisateur de 1PassWorld) renforce encore cette sécurité. Elle peut s'activer durant une plage horaire (lorsque vous dormez) ou lors d'une période prolongée d'absence (exemple : vacances)

1PassWorld, c'est le système de connexion 2.0 GRATUIT pour les sites internet qui va révolutionner le web après 20 ans d'existence...

S?curit? informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirS?curit? informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesuresContre mesures" Contre mesures "

Derrière le rideauDerrière le rideauDerrière le rideau

Infogreffe
1PassWorld est une société immatriculée le 07.08.2014 sous la forme "Société par actions simplifiée à associé unique".
Siret : 803 951 730 00016
Siège social : 25, Cours Aristide BRIAND - 69300 CALUIRE-ET-CUIRE
Code NAF : 6209Z : Autres activités informatiques

BODACC - Créations d'établissements

http://www.bodacc.fr/annonce/detail/BXA142450011678
Bodacc A n°20140172 publié le 09/09/2014

Annonce n° 626
RCS : 803 951 730 RCS Lyon
Dénomination : 1PASSWORLD
Forme : Société par Actions Simplifiée
Capital : 20000.00 EUR
Administration : Commissaire aux comptes suppléant : GRESLE Stéphanie nom d'usage : GRESLE. Commissaire aux comptes titulaire : CONSEIL ET EXPERTISE RHONE ALPES. Président : Société à responsabilité limitée KNBDC FINANCES représenté(e) par BOUILLY Nicolas nom d'usage : BOUILLY.
Adresse : 25 cours Aristide Briand 69300 Caluire-et-Cuire
Etablissement(s) :
Activité : Prestations de services informatiques et internet.

Date de commencement d'activité : 02 août 2014

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "