1PassWorld - Single sign-on

1PassWorld est une société française, régulièrement déclarée au registre du commerce et des sociétés. Elle ne se cache pas et n'est pas localisée dans une zone de non-droit du Web. C'est une société toute jeune (août 2014) et l'analyse qui suit, critique, est peut-être celle d'erreurs de jeunesse.

Avec 1PassWorld, la sécurité des données est contractuellement annoncée grâce à des communications selon le protocole HTTPS avec chiffrement SSL. Et alors... ! Cela ne concerne que le transport des données, de l'ordinateur de l'utilisateur aux serveurs de 1PassWorld. Cela gêne un peu un attaquant qui voudrait s'y prendre avec une attaque de type Man in the Middle, rien de plus.

La « clé » :

Il y aurait un bon point dans la démarche de 1PassWorld : la « clé ». S'il s'agit réellement du contrôle d'accès aux données du service 1PassWorld, depuis l'extérieur (depuis le Web), avec une double authentification spécifique à 1PassWorld, ce serait une bonne idée. La « clé » serait un code aléatoire, à usage unique, envoyée sur le smartphone de l'utilisateur au moment où celui-ci tente de se connecter sur son compte. L'utilisateur devrait saisir ce code pour pouvoir poursuivre sur le service de 1PassWorld, afin de prouver qu'il est bien celui qu'il prétend être. Malheureusement, les clauses d'usage du site 1PassWorld sont tellement vagues qu'il pourrait, en fait, tout simplement s'agir de la double authentification normale des cartes bancaires 3D Secure (comme le code Certicode de VISA) que 1PassWorld s'attribuerait, ce qui serait un foutage de gueule, car ce code serait demandé par la plateforme de paiement du site affilié, ce qui n'a strictement rien à voir avec 1PassWorld !

Les clauses contractuelles floues de 1PassWorld :

• Pas un mot sur le stockage des données sur leurs serveurs.

• Pas un mot sur l'impossibilité totale d'accès aux données par le personnel de 1PassWorld.

• Pas un mot sur la possibilité de faillite de 1PassWorld et du sort des bases de données dans ce cas.

• Pas un mot sur la possibilité de rachat de 1PassWorld par une autre société et de la possibilité de contrôle et d'effacement total des données d'un utilisateur dans ce cas.

• Pas un mot sur le droit à l'oubli, incluant les données en ligne et tous les backups, copies de sécurité, etc.

• Pas un mot sur la nature de leurs serveurs (technologie, géolocalisation).

• Pas un mot sur la garantie absolue qu'aucune donnée ne sera jamais hébergée hors de France.

• Etc.

Quant aux tests quotidiens par Qualys, revendiqués dans les clauses de 1PassWorld, (Qualys est une société de services fiable ayant pignon sur rue), comme tous les scanners de failles de sécurité que l'on peut mettre en œuvre soi-même lorsque l'on a la structure suffisante (un directeur du service informatique et de la sécurité, etc.) pour surveiller sa sécurité (les outils comme Metasploit, HTTPCS, Nessus, OpenVAS, BoomScan, Nikto2, Wapiti, etc.), ils ne concernent que les échantillons (patterns) des failles de sécurité connues.

Enfin, le « service » 1PassWorld consiste en une intermédiation qui tente de capter et fidéliser des visiteurs pour les faire rebondir vers des sites marchands pour lesquels 1PassWorld agit en apporteur d'affaires (on appelle cela de l'Affiliation - l'une des formes de monétisation d'un site Internet, dans le monde du Web). Se simplifier la vie et être paresseux au point de donner ses informations les plus privées et secrètes à un service externe flou est une pure folie qui n'a aucune justification.

En recherchant d'autres informations sur 1PassWorld, un message à l'adresse des sites marchands, sur un forum s'adressant aux webmasters, laisse perplexe : l'utilisateur clique sur un logo 1PassWorld se trouvant sur le site marchand affilié. Le serveur du site marchand se retourne vers le serveur de 1PassWorld qui envoie un code SMS à l'utilisateur. Celui-ci reçoit et saisit ce code. Si OK, 1PassWorld envoie les données de l'utilisateur au site marchand. Mais les données bancaires ne seraient pas stockées sur les serveurs de 1PassWorld, donc, il faut les ressaisir. D'autre part, la clé ne serait pas un code à usage unique mais choisi par l'internaute et ne serait envoyé/demandé qu'une fois, lors de la première connexion de l'utilisateur au site marchand. Tout cela n'est pas très clair.

Le chiffrement se fait en AES 256 qui n'est pas cassé à ce jour.

Immatriculation de 1PassWorld à Infogreffe

1PassWorld est une société immatriculée le 07.08.2014 sous la forme « Société par actions simplifiée à associé unique ».
Siret : 803 951 730 00016
Siège social : 25, Cours Aristide BRIAND - 69300 CALUIRE-ET-CUIRE
Code NAF : 6209Z : Autres activités informatiques

Enregistrement de l'établissement au BODAC
Bodacc A n°20140172 publié le 09/09/2014
Annonce n° 626
RCS : 803 951 730 RCS Lyon
Dénomination : 1PASSWORLD
Forme : Société par Actions Simplifiée
Capital : 20000.00 EUR
Administration : Commissaire aux comptes suppléant : GRESLE Stéphanie nom d'usage : GRESLE. Commissaire aux comptes titulaire : CONSEIL ET EXPERTISE RHÔNE-ALPES. Président : Société à responsabilité limitée KNBDC FINANCES représenté(e) par BOUILLY Nicolas nom d'usage : BOUILLY.
Adresse : 25 cours Aristide Briand 69300 Caluire-et-Cuire
Etablissement(s) :
Activité : Prestations de services informatiques et internet.
Date de commencement d'activité : 02 août 2014

1PassWorld nous écrit sur le fil de discussion dédié à cet article. Suivre le lien « Discussion à propos de cet article » en haut à droite de cette page.

On ne peut s'empêcher de penser à Microsoft Passport et tous les systèmes dit de Single sign-on. C'est le principe même du Single sign-on qui est montré du doigt.

L'échec de Microsoft Passport, dont tous les affiliés ont quitté le navire, n'a pas servi de leçon. Les fuites d'informations privées et les scandales de Microsoft ont accompagné Passport.