Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

1PassWorld - Single sign-on

1PassWorld - un service qui offre de conserver toutes vos données personnelles, et de les protéger par un mot de passe unique, pour vous permettre d'aller sur des sites marchands sans avoir à ressaisir toutes vos données les plus privées. L'échec de Microsoft Password n'a pas servi de leçon et la folie de mettre tous ses identifiants chez un inconnu relève de la psychiatrie.

26.02.2015 - Révision 21.08.2020 - Révision mineure 06.05.2021. Auteur : Pierre Pinard.

1PassWorld est un service qui fait sa publicité en inscrivant des messages publicitaires sur les forums (vu le 26.02.2015 sur un forum ami - un modérateur ayant détruit le message aussitôt mais copie ci-après).

1PassWorld fait furieusement penser à Microsoft Passport et tous les systèmes dit de Single sign-on.

Strictement aucun soupçon ne pèse sur 1PassWorld. C'est le principe du Single sign-on qui est montré du doigt.

L'échec de Microsoft Passport, dont tous les affiliés (les sites marchands sur lesquels il était possible de s'inscrire avec le seul identifiant et mot de passe Passport, Passport se chargeant de communiquer toutes les autres informations aux affiliés, avec toutes les fuites d'informations et les scandales qui ont accompagné Passport) ont quitté le navire, n'a pas servi de leçon.

Spam des forums de discussion le 26.02.2015 par 1PassWorld

Bonjour,

Connaissez-vous (lien 1PassWorld) ?

C'est un service pour vous connecter sur tous les sites avec un seul identifiant et un seul mot de passe. Une clé à 6 chiffres (réception 1 seule fois par SMS) sécurise votre connexion.

De plus, lors d'un achat ou d'une commande, vous n'avez plus à remplir vos coordonnées. Nous les transmettons directement au site. C'est plus simple et plus sécurisant pour vous pour évoluer sur le net.

Plus de précisions : (lien 1passworld)

Dites nous ce que vous en pensez et inscrivez-vous : (lien 1passworld)

Ce service est gratuit. Plus il y aura d'inscrits, plus il y aura de sites utilisant cette solution et plus votre vie sur le web sera simplifiée...

Nicolas B.

Par ce type de message, il faut comprendre que le service est naissant et qu'il ne dispose que de peu ou pas d'affiliés.

On peut lire, sur le site 1PassWorld :

"Nous vous offrons votre 1ère Clé."

Il faut donc en conclure que le « service » est payant.

Une phrase remarquable du message de spam des forums est :

On peut lire, sur le site 1PassWorld :

« Plus il y aura d'inscrits, plus il y aura de sites utilisant cette solution »

Il faut entendre par là : « Plus nous aurons d'utilisateurs de notre service et plus 1PassWorld pourra attirer des sites marchands affiliés, donc plus 1PassWorld gagnera de l'argent. »

On ne peut pas critiquer une bonne idée, celle qui consiste à lancer un service qui va « rouler tout seul » et rapporter de l'argent en restant dans son fauteuil. C'est une très bonne idée.

Encore une fois, ce n'est pas 1PassWorld qui est en cause, c'est le principe du Single sign-on qui est une folie, sous prétexte de flatter la paresse de l'utilisateur. On ne peut oublier, le Web étant un panier de crabes, que le seul et unique but d'un large nombre de services sur le Web est le besoin frénétique, maladif, de pécher toutes nos informations, dont bancaire, de localisation, mots de passe, profils, catégorie socio-professionnelle, etc. Et là, avec 1PassWorld, c'est très simple : on les leur donne !

Une seule règle sur le Web : vivre caché.

Enfin, le risque zéro n'existant pas (et il n'existera jamais), c'est une autre bonne raison pour vivre heureux en vivant caché, sans jamais approcher les systèmes dit de Single sign-on comme 1PassWorld.

Avec ce genre de service, on est très au-delà du Tracking.

1PassWorld - Analyse de 1PassWorld

1PassWorld est une société française, régulièrement déclarée au registre du commerce et des sociétés. Elle ne se cache pas et n'est pas localisée dans une zone de non-droit du Web. C'est une société toute jeune (août 2014) et l'analyse qui suit, critique, est peut-être celle d'erreurs de jeunesse.

Avec 1PassWorld, la sécurité des données est contractuellement annoncée grâce à des communications selon le protocole HTTPS avec chiffrement SSL. Et alors... ! Cela ne concerne que le transport des données, de l'ordinateur de l'utilisateur aux serveurs de 1PassWorld. Cela gêne un peu un attaquant qui voudrait s'y prendre avec une attaque de type Man in the Middle, rien de plus.

La « clé » :

Il y aurait un bon point dans la démarche de 1PassWorld : la « clé ». S'il s'agit réellement du contrôle d'accès aux données du service 1PassWorld, depuis l'extérieur (depuis le Web), avec une double authentification spécifique à 1PassWorld, ce serait une bonne idée. La « clé » serait un code aléatoire, à usage unique, envoyée sur le smartphone de l'utilisateur au moment où celui-ci tente de se connecter sur son compte. L'utilisateur devrait saisir ce code pour pouvoir poursuivre sur le service de 1PassWorld, afin de prouver qu'il est bien celui qu'il prétend être. Malheureusement, les clauses d'usage du site 1PassWorld sont tellement vagues qu'il pourrait, en fait, tout simplement s'agir de la double authentification normale des cartes bancaires 3D Secure (comme le code Certicode de VISA) que 1PassWorld s'attribuerait, ce qui serait un foutage de gueule, car ce code serait demandé par la plateforme de paiement du site affilié, ce qui n'a strictement rien à voir avec 1PassWorld !

Rappel : la double authentification

Vous faites un achat en ligne et indiquez votre carte bancaire.

Votre banque s'assure que vous êtes bien le propriétaire de la carte et vous envoie un code à usage unique (code jetable) par SMS (sur votre smartphone) ou par synthèse vocale (sur votre téléphone fixe). Vous devez l'indiquer pour certifier que vous êtes bien qui vous prétendez être.

Article complet sur la double authentification.


Les clauses contractuelles floues de 1PassWorld :

  • Pas un mot sur le stockage des données sur leurs serveurs.

  • Pas un mot sur l'impossibilité totale d'accès aux données par le personnel de 1PassWorld.

  • Pas un mot sur la possibilité de faillite de 1PassWorld et du sort des bases de données dans ce cas.

  • Pas un mot sur la possibilité de rachat de 1PassWorld par une autre société et de la possibilité de contrôle et d'effacement total des données d'un utilisateur dans ce cas.

  • Pas un mot sur le droit à l'oubli, incluant les données en ligne et tous les backups, copies de sécurité, etc.

  • Pas un mot sur la nature de leurs serveurs (technologie, géolocalisation).

  • Pas un mot sur la garantie absolue qu'aucune donnée ne sera jamais hébergée hors de France.

  • Etc.

Quant aux tests quotidiens par Qualys, revendiqués dans les clauses de 1PassWorld, (Qualys est une société de services fiable ayant pignon sur rue), comme tous les scanners de failles de sécurité que l'on peut mettre en œuvre soi-même lorsque l'on a la structure suffisante (un directeur du service informatique et de la sécurité, etc.) pour surveiller sa sécurité (les outils comme Metasploit, HTTPCS, Nessus, OpenVAS, BoomScan, Nikto2, Wapiti, etc.), ils ne concernent que les échantillons (patterns) des failles de sécurité connues.

Enfin, le « service » 1PassWorld consiste en une intermédiation qui tente de capter et fidéliser des visiteurs pour les faire rebondir vers des sites marchands pour lesquels 1PassWorld agit en apporteur d'affaires (on appelle cela de l'Affiliation - l'une des formes de monétisation d'un site Internet, dans le monde du Web). Se simplifier la vie et être paresseux au point de donner ses informations les plus privées et secrètes à un service externe flou est une pure folie qui n'a aucune justification.

1PassWorld - Analyse de 1PassWorld

En recherchant d'autres informations sur 1PassWorld, un message à l'adresse des sites marchands, sur un forum s'adressant aux webmasters, laisse perplexe : l'utilisateur clique sur un logo 1PassWorld se trouvant sur le site marchand affilié. Le serveur du site marchand se retourne vers le serveur de 1PassWorld qui envoie un code SMS à l'utilisateur. Celui-ci reçoit et saisit ce code. Si OK, 1PassWorld envoie les données de l'utilisateur au site marchand. Mais les données bancaires ne seraient pas stockées sur les serveurs de 1PassWorld, donc, il faut les ressaisir. D'autre part, la clé ne serait pas un code à usage unique mais choisi par l'internaute et ne serait envoyé/demandé qu'une fois, lors de la première connexion de l'utilisateur au site marchand. Tout cela n'est pas très clair.

Le chiffrement se fait en AES 256 qui n'est pas cassé à ce jour.

1PassWorld - Analyse additionnelle de 1PassWorld
1PassWorld - Message de 1PassWorld aux sites marchands

Immatriculation de 1PassWorld à Infogreffe

1PassWorld est une société immatriculée le 07.08.2014 sous la forme « Société par actions simplifiée à associé unique ».
Siret : 803 951 730 00016
Siège social : 25, Cours Aristide BRIAND - 69300 CALUIRE-ET-CUIRE
Code NAF : 6209Z : Autres activités informatiques


Enregistrement de l'établissement au BODAC
Bodacc A n°20140172 publié le 09/09/2014
Annonce n° 626
RCS : 803 951 730 RCS Lyon
Dénomination : 1PASSWORLD
Forme : Société par Actions Simplifiée
Capital : 20000.00 EUR
Administration : Commissaire aux comptes suppléant : GRESLE Stéphanie nom d'usage : GRESLE. Commissaire aux comptes titulaire : CONSEIL ET EXPERTISE RHÔNE-ALPES. Président : Société à responsabilité limitée KNBDC FINANCES représenté(e) par BOUILLY Nicolas nom d'usage : BOUILLY.
Adresse : 25 cours Aristide Briand 69300 Caluire-et-Cuire
Etablissement(s) :
Activité : Prestations de services informatiques et internet.
Date de commencement d'activité : 02 août 2014

1PassWorld - Immatriculation de 1PassWorld à Infogreffe et au Bodac

1PassWorld nous écrit sur le fil de discussion dédié à cet article. Suivre le lien « Discussion à propos de cet article » en haut à droite de cette page.

1PassWorld - 1PassWorld nous écrit


Outils d'investigations


# Ailleurs sur le Web #

  1. #1PassWorld#