1

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

1

PARTENAIRESECURITE

Webinar #1

2015 V1.1

2

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

2Outils développeurs : Comment démarrer ?

Création d’un compte développeur CA Store sur le portail- L’utilisateur doit tout d’abord se créer un compte CA Store via le portail

- L’utilisateur choisit à ce moment ses identifiant et mot de passe CA Store.

Création d’une application- L’espace développeur permet de créer des applications

- Le développeur obtient en retour un jeton de sécurité à paramétrer dans son application (oAuth v1.0a)

Raccordement des comptes BAM- Le développeur peut raccorder des comptes bancaires fictifs à son compte CA Store

- Les codes d’accès sont disponibles sur le portail

Authentification et accès aux données fictives via mon application- Le développeur peut utiliser son propre compte de développeur pour tester son application en cours de développement.

- Note : les comptes clients ne sont pas autorisés sur les applications en cours de développement.

Une documentation en ligne- Liste des fonctionnalités

- Documentation techniques de chaque Web Service

https://www.creditagricolestore.fr/castore-data-provider/docs/V1/

URL portail : https://www.creditagricolestore.fr/

3

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

3

*

https://www.creditagricolestore.fr/castore-data-provider/rest/V1

/session

Une API définie selon le standard REST

Session

GET

Résultat :

Outil de démo : REST Client (https://addons.mozilla.org/fr/firefox/addon/restclient/)

4

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

4

*

Une API définie selon le standard REST

Session

*

Compte CAStore {login CA Store}

https://www.creditagricolestore.fr/castore-data-provider/rest/V1

/utilisateurs/6678417068863580GET

Résultat :

5

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

5

*

Une API définie selon le standard REST

Session

*

Compte CAStore {login CA Store}

https://www.creditagricolestore.fr/castore-data-provider/rest/V1

/utilisateurs/6678417068863580/comptesBAMGET

(*) BAM : banque en ligne

Compte BAM* Ile-de-france PACA

Résultat :

6

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

6

*

Une API définie selon le standard REST

Session

*

Compte CAStore {login CA Store}

https://www.creditagricolestore.fr/castore-data-provider/rest/V1

/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptesGET

(*) BAM : banque en ligne

Compte BAM*

Compte bancaire Compte persoCompte chèque Compte joint

Ile-de-france PACA

Résultat :

7

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

7

*

Une API définie selon le standard REST

Session

*

Compte CAStore {login CA Store}

https://www.creditagricolestore.fr/castore-data-provider/rest/V1

/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptes/66792…GET

(*) BAM : banque en ligne

Compte BAM*

Compte bancaire Compte persoCompte chèque Compte joint

Ile-de-france PACA

Carte de crédit S108 **** **** 4950S108 **** **** 7976

Résultat :

8

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

8

*

Une API définie selon le standard REST

Session

*

Compte CAStore {login CA Store}

https://www.creditagricolestore.fr/castore-data-provider/rest/V1/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptes/66792…

GET

(*) BAM : banque en ligne

Compte BAM*

Compte bancaire Compte persoCompte chèque Compte joint

Ile-de-france PACA

Carte de crédit S108 **** **** 4950S108 **** **** 7976

Réserve de crédit SOFINCO

9

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

9

DEMONavigation dans l’API

https://www.youtube.com/watch?v=PsPyBDmbU8o

10

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

10Authentification : implémentation de OAuth dans l’application mobile

Authentification de l’application mobile

Authentification et autorisation de

l’utilisateur

Obtention de l’accesstoken

Accès aux ressources

Etape à prendre en charge avec un client Oauth(pour générer les signatures)

Etape à prendre en charge avec objet Web View dans l’application(appel d’une page web CA Store)

Etape à prendre en charge avec un client Oauth(nécessite des signatures)

Etape à prendre en charge avec un client Oauth(pour générer les signatures)

Doc en ligne : https://www.creditagricolestore.fr/castore-data-provider/docs/V1/authentification.html

11

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

11Authentification : implémentation de OAuth dans l’application mobile

1. Initialisation d’une demande d’accès

2. Demande d’autorisation à l’utilisateur

4. Validation(envoi de jeton d’accès)

3. Autorisation par l’utilisateur(dialogue direct entre l’utilisateur et CA Store)

12

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

12

DEMOCode Android

https://github.com/CA-Store-MBF2/CA-Store-Android-sample

13

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

13Customisation des Web View

- Possibilité d’injecter un CSS pour surcharger les parties graphiques et chacun des textes présent dans l’ensemble des Web View (authentification, création de compte, virement, …)

- Fonctionnalité administrable via l’espace développeur sur le portail Web CA Store- 1 seul fichier CSS pour l’ensemble des Web View

Web View d’origine Exemple de customisation

14

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

14Les bonnes pratiques

• Ne pas recoder oAuth :

– Utiliser les librairies disponibles sur le web pour contourner les difficultés potentielles ou éviter de créer des failles desécurité

• Ne pas collecter d’information personnelle auprès du client, ne pas stocker d’information personnelle en parallèle des données CA Store au sein d’une application :

– Pour ne pas provoquer de rupture dans la chaîne d’anonymisation CA Store

• Penser au contexte multi-utilisateur / multi-BAM : pas d’agrégation des données

– En cas de stockage des données sur le mobile, veiller à bien distinguer les contextes utilisateurs

• Non diffusion des données vers l’extérieur « non justifiée »

– Les données issues de l’API CA Store, même anonymisées, doivent rester dans des environnements maitrisés / connus / référencés

– En cas de doute, ne pas hésiter à solliciter le basecamp CA Store.

• Respecter les standards de sécurité

– En particulier : ne pas contourner les mécanismes systèmes de vérification des certificats SSL

15

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

15Références

• URL du portail CA Store : https://www.creditagricolestore.fr/

• Documentation de l’API CA Store en ligne : https://www.creditagricolestore.fr/castore-data-provider/docs/V1/

• Espace communautaire entre les développeurs / digiculteurs CA Store : https://fnca.basecamphq.com/

• Exemple de client OAuth :

• Ex. Android : https://code.google.com/p/oauth-signpost/downloads/list

• Ex. iOS : https://github.com/bdbergeron/BDBOAuth1Manager

• Ex. JS : – https://github.com/bettiolo/oauth-signature-js

– http://oauth.googlecode.com/svn/code/javascript/

16

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

16

Questions ?

17

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #1 - Jeudi 26 mars 2015

17

Harmonie Technologie Cabinet de conseil et d’expertise technique

Spécialiste de la sécurité du système d’information

60 rue la Boétie75 008 Paris

Nous contacter 01 73 54 30 00 / info.ssi@harmonie-technologie.com