[mbf2] webinar api crédit agricole store #1
TRANSCRIPT
1
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
1
PARTENAIRESECURITE
Webinar #1
2015 V1.1
2
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
2Outils développeurs : Comment démarrer ?
Création d’un compte développeur CA Store sur le portail- L’utilisateur doit tout d’abord se créer un compte CA Store via le portail
- L’utilisateur choisit à ce moment ses identifiant et mot de passe CA Store.
Création d’une application- L’espace développeur permet de créer des applications
- Le développeur obtient en retour un jeton de sécurité à paramétrer dans son application (oAuth v1.0a)
Raccordement des comptes BAM- Le développeur peut raccorder des comptes bancaires fictifs à son compte CA Store
- Les codes d’accès sont disponibles sur le portail
Authentification et accès aux données fictives via mon application- Le développeur peut utiliser son propre compte de développeur pour tester son application en cours de développement.
- Note : les comptes clients ne sont pas autorisés sur les applications en cours de développement.
Une documentation en ligne- Liste des fonctionnalités
- Documentation techniques de chaque Web Service
https://www.creditagricolestore.fr/castore-data-provider/docs/V1/
URL portail : https://www.creditagricolestore.fr/
3
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
3
*
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/session
Une API définie selon le standard REST
Session
GET
Résultat :
Outil de démo : REST Client (https://addons.mozilla.org/fr/firefox/addon/restclient/)
4
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
4
*
Une API définie selon le standard REST
Session
*
Compte CAStore {login CA Store}
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/utilisateurs/6678417068863580GET
Résultat :
5
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
5
*
Une API définie selon le standard REST
Session
*
Compte CAStore {login CA Store}
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/utilisateurs/6678417068863580/comptesBAMGET
(*) BAM : banque en ligne
Compte BAM* Ile-de-france PACA
Résultat :
6
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
6
*
Une API définie selon le standard REST
Session
*
Compte CAStore {login CA Store}
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptesGET
(*) BAM : banque en ligne
Compte BAM*
Compte bancaire Compte persoCompte chèque Compte joint
Ile-de-france PACA
Résultat :
7
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
7
*
Une API définie selon le standard REST
Session
*
Compte CAStore {login CA Store}
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptes/66792…GET
(*) BAM : banque en ligne
Compte BAM*
Compte bancaire Compte persoCompte chèque Compte joint
Ile-de-france PACA
Carte de crédit S108 **** **** 4950S108 **** **** 7976
Résultat :
8
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
8
*
Une API définie selon le standard REST
Session
*
Compte CAStore {login CA Store}
https://www.creditagricolestore.fr/castore-data-provider/rest/V1/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptes/66792…
GET
(*) BAM : banque en ligne
Compte BAM*
Compte bancaire Compte persoCompte chèque Compte joint
Ile-de-france PACA
Carte de crédit S108 **** **** 4950S108 **** **** 7976
Réserve de crédit SOFINCO
9
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
9
DEMONavigation dans l’API
https://www.youtube.com/watch?v=PsPyBDmbU8o
10
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
10Authentification : implémentation de OAuth dans l’application mobile
Authentification de l’application mobile
Authentification et autorisation de
l’utilisateur
Obtention de l’accesstoken
Accès aux ressources
Etape à prendre en charge avec un client Oauth(pour générer les signatures)
Etape à prendre en charge avec objet Web View dans l’application(appel d’une page web CA Store)
Etape à prendre en charge avec un client Oauth(nécessite des signatures)
Etape à prendre en charge avec un client Oauth(pour générer les signatures)
Doc en ligne : https://www.creditagricolestore.fr/castore-data-provider/docs/V1/authentification.html
11
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
11Authentification : implémentation de OAuth dans l’application mobile
1. Initialisation d’une demande d’accès
2. Demande d’autorisation à l’utilisateur
4. Validation(envoi de jeton d’accès)
3. Autorisation par l’utilisateur(dialogue direct entre l’utilisateur et CA Store)
12
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
12
DEMOCode Android
https://github.com/CA-Store-MBF2/CA-Store-Android-sample
13
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
13Customisation des Web View
- Possibilité d’injecter un CSS pour surcharger les parties graphiques et chacun des textes présent dans l’ensemble des Web View (authentification, création de compte, virement, …)
- Fonctionnalité administrable via l’espace développeur sur le portail Web CA Store- 1 seul fichier CSS pour l’ensemble des Web View
Web View d’origine Exemple de customisation
14
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
14Les bonnes pratiques
• Ne pas recoder oAuth :
– Utiliser les librairies disponibles sur le web pour contourner les difficultés potentielles ou éviter de créer des failles desécurité
• Ne pas collecter d’information personnelle auprès du client, ne pas stocker d’information personnelle en parallèle des données CA Store au sein d’une application :
– Pour ne pas provoquer de rupture dans la chaîne d’anonymisation CA Store
• Penser au contexte multi-utilisateur / multi-BAM : pas d’agrégation des données
– En cas de stockage des données sur le mobile, veiller à bien distinguer les contextes utilisateurs
• Non diffusion des données vers l’extérieur « non justifiée »
– Les données issues de l’API CA Store, même anonymisées, doivent rester dans des environnements maitrisés / connus / référencés
– En cas de doute, ne pas hésiter à solliciter le basecamp CA Store.
• Respecter les standards de sécurité
– En particulier : ne pas contourner les mécanismes systèmes de vérification des certificats SSL
15
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
15Références
• URL du portail CA Store : https://www.creditagricolestore.fr/
• Documentation de l’API CA Store en ligne : https://www.creditagricolestore.fr/castore-data-provider/docs/V1/
• Espace communautaire entre les développeurs / digiculteurs CA Store : https://fnca.basecamphq.com/
• Exemple de client OAuth :
• Ex. Android : https://code.google.com/p/oauth-signpost/downloads/list
• Ex. iOS : https://github.com/bdbergeron/BDBOAuth1Manager
• Ex. JS : – https://github.com/bettiolo/oauth-signature-js
– http://oauth.googlecode.com/svn/code/javascript/
16
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
16
Questions ?
17
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
17
Harmonie Technologie Cabinet de conseil et d’expertise technique
Spécialiste de la sécurité du système d’information
60 rue la Boétie75 008 Paris
Nous contacter 01 73 54 30 00 / [email protected]