Présentation des APIs Crédit Agricole Store le 26 mars 2015 dans le cadre de la Mobile Banking Factory 2.
https://www.youtube.com/watch?v=PsPyBDmbU8o&list=PLuP4XLxfL4Q6GsPzAnJIQGAcNeAb4KDHX&index=4
[Ultracode Munich Meetup #9] From Sand to Silicon by Christian Anderka
[MBF2] Webinar API Crédit Agricole Store #1
1. 1
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
1
PARTENAIRE
SECURITE
Webinar #1
2015 V1.1
2. 2
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
2Outils développeurs : Comment démarrer ?
Création d’un compte développeur CA Store sur le portail
- L’utilisateur doit tout d’abord se créer un compte CA Store via le portail
- L’utilisateur choisit à ce moment ses identifiant et mot de passe CA Store.
Création d’une application
- L’espace développeur permet de créer des applications
- Le développeur obtient en retour un jeton de sécurité à paramétrer dans son
application (oAuth v1.0a)
Raccordement des comptes BAM
- Le développeur peut raccorder des comptes bancaires fictifs à son compte CA Store
- Les codes d’accès sont disponibles sur le portail
Authentification et accès aux données fictives via mon application
- Le développeur peut utiliser son propre compte de développeur pour tester son application en cours
de développement.
- Note : les comptes clients ne sont pas autorisés sur les applications en cours de développement.
Une documentation en ligne
- Liste des fonctionnalités
- Documentation techniques de chaque Web Service
https://www.creditagricolestore.fr/castore-data-provider/docs/V1/
URL portail : https://www.creditagricolestore.fr/
3. 3
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
3
*
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/session
Une API définie selon le standard REST
Session
GET
Résultat :
Outil de démo : REST Client (https://addons.mozilla.org/fr/firefox/addon/restclient/)
4. 4
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
4
*
Une API définie selon le standard REST
Session
*
Compte CAStore {login CA Store}
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/utilisateurs/6678417068863580
GET
Résultat :
5. 5
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
5
*
Une API définie selon le standard REST
Session
*
Compte CAStore {login CA Store}
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/utilisateurs/6678417068863580/comptesBAM
GET
(*) BAM :
banque en ligne
Compte BAM* Ile-de-france PACA
Résultat :
6. 6
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
6
*
Une API définie selon le standard REST
Session
*
Compte CAStore {login CA Store}
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptes
GET
(*) BAM :
banque en ligne
Compte BAM*
Compte bancaire Compte persoCompte chèque Compte joint
Ile-de-france PACA
Résultat :
7. 7
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
7
*
Une API définie selon le standard REST
Session
*
Compte CAStore {login CA Store}
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptes/66792…
GET
(*) BAM :
banque en ligne
Compte BAM*
Compte bancaire Compte persoCompte chèque Compte joint
Ile-de-france PACA
Carte de crédit S108 **** **** 4950S108 **** **** 7976
Résultat :
8. 8
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
8
*
Une API définie selon le standard REST
Session
*
Compte CAStore {login CA Store}
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptes/66792…
GET
(*) BAM :
banque en ligne
Compte BAM*
Compte bancaire Compte persoCompte chèque Compte joint
Ile-de-france PACA
Carte de crédit S108 **** **** 4950S108 **** **** 7976
Réserve de crédit SOFINCO
9. 9
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
9
DEMO
Navigation dans l’API
https://www.youtube.com/watch?v=PsPyBDmbU8o
10. 10
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
10Authentification : implémentation de OAuth dans l’application mobile
Authentification de
l’application mobile
Authentification et
autorisation de
l’utilisateur
Obtention de l’access
token
Accès aux ressources
Etape à prendre en charge avec un client Oauth
(pour générer les signatures)
Etape à prendre en charge avec objet Web View dans l’application
(appel d’une page web CA Store)
Etape à prendre en charge avec un client Oauth
(nécessite des signatures)
Etape à prendre en charge avec un client Oauth
(pour générer les signatures)
Doc en ligne : https://www.creditagricolestore.fr/castore-data-provider/docs/V1/authentification.html
11. 11
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
11Authentification : implémentation de OAuth dans l’application mobile
1. Initialisation d’une
demande d’accès
2. Demande d’autorisatio
n à l’utilisateur
4. Validation
(envoi de jeton d’accès)
3. Autorisation par l’utilisateur
(dialogue direct entre l’utilisateur et CA Store)
12. 12
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
12
DEMO
Code Android
https://github.com/CA-Store-MBF2/CA-Store-Android-sample
13. 13
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
13Customisation des Web View
- Possibilité d’injecter un CSS pour surcharger les parties graphiques et chacun des textes présent
dans l’ensemble des Web View (authentification, création de compte, virement, …)
- Fonctionnalité administrable via l’espace développeur sur le portail Web CA Store
- 1 seul fichier CSS pour l’ensemble des Web View
Web View d’origine Exemple de customisation
14. 14
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
14Les bonnes pratiques
• Ne pas recoder oAuth :
– Utiliser les librairies disponibles sur le web pour contourner les difficultés potentielles ou éviter de créer des failles de
sécurité
• Ne pas collecter d’information personnelle auprès du client, ne pas stocker d’information personnelle en
parallèle des données CA Store au sein d’une application :
– Pour ne pas provoquer de rupture dans la chaîne d’anonymisation CA Store
• Penser au contexte multi-utilisateur / multi-BAM : pas d’agrégation des données
– En cas de stockage des données sur le mobile, veiller à bien distinguer les contextes utilisateurs
• Non diffusion des données vers l’extérieur « non justifiée »
– Les données issues de l’API CA Store, même anonymisées, doivent rester dans des environnements maitrisés / connus
/ référencés
– En cas de doute, ne pas hésiter à solliciter le basecamp CA Store.
• Respecter les standards de sécurité
– En particulier : ne pas contourner les mécanismes systèmes de vérification des certificats SSL
15. 15
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
15Références
• URL du portail CA Store : https://www.creditagricolestore.fr/
• Documentation de l’API CA Store en ligne : https://www.creditagricolestore.fr/castore-data-provider/docs/V1/
• Espace communautaire entre les développeurs / digiculteurs CA Store : https://fnca.basecamphq.com/
• Exemple de client OAuth :
• Ex. Android : https://code.google.com/p/oauth-signpost/downloads/list
• Ex. iOS : https://github.com/bdbergeron/BDBOAuth1Manager
• Ex. JS :
– https://github.com/bettiolo/oauth-signature-js
– http://oauth.googlecode.com/svn/code/javascript/
16. 16
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
16
Questions ?
17. 17
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
17
Harmonie Technologie
Cabinet de conseil et d’expertise technique
Spécialiste de la sécurité du système d’information
60 rue la Boétie
75 008 Paris
Nous contacter
01 73 54 30 00 / info.ssi@harmonie-technologie.com