[MBF2] Webinar API Crédit Agricole Store #1

1
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015
1
PARTENAIRE
SECURITE
Webinar #1
2015 V1.1

2
2Outils développeurs : Comment démarrer ?
Création d’un compte développeur CA Store sur le portail
- L’utilisateur doit tout d’abord se créer un compte CA Store via le portail
- L’utilisateur choisit à ce moment ses identifiant et mot de passe CA Store.
Création d’une application
- L’espace développeur permet de créer des applications
- Le développeur obtient en retour un jeton de sécurité à paramétrer dans son
application (oAuth v1.0a)
Raccordement des comptes BAM
- Le développeur peut raccorder des comptes bancaires fictifs à son compte CA Store
- Les codes d’accès sont disponibles sur le portail
Authentification et accès aux données fictives via mon application
- Le développeur peut utiliser son propre compte de développeur pour tester son application en cours
de développement.
- Note : les comptes clients ne sont pas autorisés sur les applications en cours de développement.
Une documentation en ligne
- Liste des fonctionnalités
- Documentation techniques de chaque Web Service
https://www.creditagricolestore.fr/castore-data-provider/docs/V1/
URL portail : https://www.creditagricolestore.fr/

3
3
*
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/session
Une API définie selon le standard REST
Session
GET
 Résultat :
Outil de démo : REST Client (https://addons.mozilla.org/fr/firefox/addon/restclient/)

4
4
*
Session
*
Compte CAStore {login CA Store}
/utilisateurs/6678417068863580
GET
 Résultat :

5
5
*
Session
*
/utilisateurs/6678417068863580/comptesBAM
GET
(*) BAM :
banque en ligne
Compte BAM* Ile-de-france PACA
 Résultat :

6
6
*
Session
*
/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptes
GET
(*) BAM :
banque en ligne
Compte BAM*
Compte bancaire Compte persoCompte chèque Compte joint
Ile-de-france PACA
 Résultat :

7
7
*
Session
*
/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptes/66792…
GET
(*) BAM :
banque en ligne
Compte BAM*
Ile-de-france PACA
Carte de crédit S108 **** **** 4950S108 **** **** 7976
 Résultat :

8
8
*
Session
*
/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptes/66792…
GET
(*) BAM :
banque en ligne
Compte BAM*
Ile-de-france PACA
Carte de crédit S108 **** **** 4950S108 **** **** 7976
Réserve de crédit SOFINCO

9
9
DEMO
Navigation dans l’API
https://www.youtube.com/watch?v=PsPyBDmbU8o

10
10Authentification : implémentation de OAuth dans l’application mobile
Authentification de
l’application mobile
Authentification et
autorisation de
l’utilisateur
Obtention de l’access
token
Accès aux ressources
Etape à prendre en charge avec un client Oauth
(pour générer les signatures)
Etape à prendre en charge avec objet Web View dans l’application
(appel d’une page web CA Store)
(nécessite des signatures)
(pour générer les signatures)
Doc en ligne : https://www.creditagricolestore.fr/castore-data-provider/docs/V1/authentification.html

11
11Authentification : implémentation de OAuth dans l’application mobile
1. Initialisation d’une
demande d’accès
2. Demande d’autorisatio
n à l’utilisateur
4. Validation
(envoi de jeton d’accès)
3. Autorisation par l’utilisateur
(dialogue direct entre l’utilisateur et CA Store)

12
12
DEMO
Code Android
https://github.com/CA-Store-MBF2/CA-Store-Android-sample

13
13Customisation des Web View
- Possibilité d’injecter un CSS pour surcharger les parties graphiques et chacun des textes présent
dans l’ensemble des Web View (authentification, création de compte, virement, …)
- Fonctionnalité administrable via l’espace développeur sur le portail Web CA Store
- 1 seul fichier CSS pour l’ensemble des Web View
Web View d’origine Exemple de customisation

14
14Les bonnes pratiques
• Ne pas recoder oAuth :
– Utiliser les librairies disponibles sur le web pour contourner les difficultés potentielles ou éviter de créer des failles de
sécurité
• Ne pas collecter d’information personnelle auprès du client, ne pas stocker d’information personnelle en
parallèle des données CA Store au sein d’une application :
– Pour ne pas provoquer de rupture dans la chaîne d’anonymisation CA Store
• Penser au contexte multi-utilisateur / multi-BAM : pas d’agrégation des données
– En cas de stockage des données sur le mobile, veiller à bien distinguer les contextes utilisateurs
• Non diffusion des données vers l’extérieur « non justifiée »
– Les données issues de l’API CA Store, même anonymisées, doivent rester dans des environnements maitrisés / connus
/ référencés
– En cas de doute, ne pas hésiter à solliciter le basecamp CA Store.
• Respecter les standards de sécurité
– En particulier : ne pas contourner les mécanismes systèmes de vérification des certificats SSL

15
15Références
• URL du portail CA Store : https://www.creditagricolestore.fr/
• Documentation de l’API CA Store en ligne : https://www.creditagricolestore.fr/castore-data-provider/docs/V1/
• Espace communautaire entre les développeurs / digiculteurs CA Store : https://fnca.basecamphq.com/
• Exemple de client OAuth :
• Ex. Android : https://code.google.com/p/oauth-signpost/downloads/list
• Ex. iOS : https://github.com/bdbergeron/BDBOAuth1Manager
• Ex. JS :
– https://github.com/bettiolo/oauth-signature-js
– http://oauth.googlecode.com/svn/code/javascript/

16
16
Questions ?

17
17
Harmonie Technologie
Cabinet de conseil et d’expertise technique
Spécialiste de la sécurité du système d’information
60 rue la Boétie
75 008 Paris
Nous contacter
01 73 54 30 00 / info.ssi@harmonie-technologie.com

[MBF2] Webinar API Crédit Agricole Store #1

Recommandé

Recommandé

Contenu connexe

Plus de BeMyApp

Plus de BeMyApp (20)

[MBF2] Webinar API Crédit Agricole Store #1