[MBF2] API Simone du Crédit Agricole Store par Guillaume Coindet

1

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Présentation technique - Samedi 14 mars 2015

1

PARTENAIRESECURITE

Présentation

Technique

2015 V1.1

2


2Agenda

1. L’API CA STORE : L’ACCÈS AUX DONNÉES BANCAIRES

2. QUELQUES FONCTIONNALITÉS CLÉS

3. LA SÉCURITÉ AU CŒUR DE L’API

4. LES BONNES PRATIQUES

3


3

PARTIE 1

L’API CA STORE

L’ACCÈS AUX DONNÉES BANCAIRES

4


4L’écosystème CA Store

DEVELOPPEUR

OPEN API

OPEN INNOVATION

LE STORE

5


5L’API CA Store

- Interagir avec le service de contrôle des accès centralisé

- Imposer un mécanisme d’authentification standard, porté par l’API

- Autoriser ou bloquer les applications à dialoguer avec l’API

GARANTIR LE NIVEAU DE SECURITE DES

APPLICATIONS

- Consulter ses comptes bancaires

- Effectuer un virement sur des RIB préenregistrés

- Accéder aux informations Agences :Géolocalisation, contacts

- Renforcer la relation client : Mails, Rendez-vous, Notification,…

EXPOSER LES SERVICES BANCAIRES

Sur des standards

API documentée en ligne

Starter-kit « open »

- Fournir une documentation en ligne

- Fournir des comptes et données de tests

- Outiller le cycle de vie l’application (développements, recette, déploiement, validation, mise à jour, fin de vie)

FACILITER LES DEVELOPPEMENTS SUR

MOBILE

6


6

*

https://www.creditagricolestore.fr/castore-data-provider/rest/V1

/session

Une API définie selon le standard REST

Session

GET

Résultat :

7


7

*


Session

*

Compte CAStore {login CA Store}


/utilisateurs/6678417068863580GET

Résultat :

8


8

*


Session

*



/utilisateurs/6678417068863580/comptesBAMGET

(*) BAM : banque en ligne

Compte BAM* Ile-de-france PACA

Résultat :

9


9

*


Session

*



/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptesGET


Compte BAM*

Compte bancaire Compte persoCompte chèque Compte joint

Ile-de-france PACA

Résultat :

10


10

*


Session

*



/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptes/66792…GET


Compte BAM*


Ile-de-france PACA

Carte de crédit S108 **** **** 4950S108 **** **** 7976

Résultat :

11


11

*


Session

*


https://www.creditagricolestore.fr/castore-data-provider/rest/V1/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptes/66792…

GET


Compte BAM*


Ile-de-france PACA


Réserve de crédit SOFINCO

12


12

*


Session

*


https://www.creditagricolestore.fr/castore-data-provider/rest/V1/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptes/66792…

GET


Compte BAM*


Ile-de-france PACA


Réserve de crédit SOFINCO

Tous les objets sont identifiés par des id uniques (compte CA store, compte BAM,

compte bancaire, carte de crédit etc.)

Formats disponibles : json ou xml (via l’en tête http « Content-type »)

Fonctionnalités diverses : virement, géolocalisation des agences, espace de stockage, etc.

13


13Authentification et contrôle d’accès

PRINCIPE FONDATEUR

« UNE SÉCURITÉ PORTÉE PAR LE SERVEUR CA STORE »

Standard OAUTH (v1.0a) pour les échanges applications CA Store :- Chaque requête sortante de l’application est signée- Chaque requête est contrôlée côté serveur (conformité, droit d’accès etc.)

Authentification déléguée au serveur :‐ Au travers d’une Web View, selon le standard Oauth 1

Un contrôle d’accès renforcé pour les opérations sensibles- Système de ré-authentification sur Web View pour le virement

14


14

PARTIE 2

FONCTIONNALITÉS CLÉS

OUTILS DÉVELOPPEURS AUTHENTIFICATION VIREMENT PERSONNALISATION

15


15Outils développeurs : Comment démarrer ?

Création d’un compte développeur CA Store sur le portail- L’utilisateur doit tout d’abord se créer un compte CA Store via le portail

- L’utilisateur choisit à ce moment ses identifiant et mot de passe CA Store.

Création d’une application- L’espace développeur permet de créer des applications

- Le développeur obtient en retour un jeton de sécurité à paramétrer dans son application (oAuth v1.0a)

Raccordement des comptes BAM- Le développeur peut raccorder des comptes bancaires fictifs à son compte CA Store

- Les codes d’accès sont disponibles sur le portail

Authentification et accès aux données fictives via mon application- Le développeur peut utiliser son propre compte de développeur pour tester son application en cours de développement.

- Note : les comptes clients ne sont pas autorisés sur les applications en cours de développement.

Une documentation en ligne- Liste des fonctionnalités

- Documentation techniques de chaque Web Service

https://www.creditagricolestore.fr/castore-data-provider/docs/V1/


16


16Authentification : implémentation de OAuth dans l’application mobile

Authentification de l’application mobile

Authentification et autorisation de

l’utilisateur

Obtention de l’accesstoken

Accès aux ressources

Etape à prendre en charge avec un client Oauth(pour générer les signatures)

Etape à prendre en charge avec objet Web View dans l’application(appel d’une page web CA Store)

Etape à prendre en charge avec un client Oauth(nécessite des signatures)


17


17Authentification : implémentation de OAuth dans l’application mobile

Authentification de l’application mobile

Authentification et autorisation de

l’utilisateur

Obtention de l’accesstoken

Accès aux ressources


Etape à prendre en charge avec objet Web View dans l’application(appel d’une page web CA Store)

Etape à prendre en charge avec un client Oauth(nécessite des signatures)


Mécanisme OAuth v1.0a relativement complexe (signatures etc.)

Eviter de les recoder, et s’appuyer sur des librairies qui implémentent ces signatures

18


18Virement : préparation du virement et ré-authentification de l’utilisateur

Page dédiée dans la documentation :https://www.creditagricolestore.fr/castore-data-provider/docs/V1/transfer.html

1 Préparation du virement 2 Exécution du virement 3 Reprise en main par l’application

- Appelle d’une page hébergée par le serveur, via un objet Web View dans l’application

- Le client y invité à se ré-authentifié

- Etape à la charge de l’application

- Vise à récupérer l’ensemble des pré-requis fonctionnel (choix des comptes) et technique (demande d’un nouveau jeton OAuth)

- Mécanisme de redirection disponible (url de retour à indiquer lors de l’appelle à la Web View)

Les virements ne sont possibles que entre les RIBs préenregistrés par le client dans sa banque en ligne CA Store ne permet pas d’enregistrer de nouveaux RIBs

https://www.creditagricolestore.fr/castore-data-provider/docs/V1/transfer.html

19


19Customisation des Web View

- Possibilité d’injecter un CSS pour surcharger les parties graphiques et chacun des textes présent dans l’ensemble des Web View (authentification, création de compte, virement, …)

- Fonctionnalité administrable via l’espace développeur sur le portail Web CA Store- 1 seul fichier CSS pour l’ensemble des Web View

Web View d’origine Exemple de customisation

20


20

PARTIE 3

LA SECURITE AU CŒUR DE L’API CA STORE

21


21ANONYMISATION DES DONNÉES ET AUTORISATIONS

API CA Store

Utilisateur CA

BAM

Données nominativesDonnées non nominatives et/ou chiffrées

Données non nominatives

Système d’information Crédit AgricoleInternet

Aucune données nominatives en sortie de l’API :• Pas de nom des clients• Pas de numéros de comptes, numéro de cartes, etc…

Vérification exhaustive des requêtes entrantes :• Technique : chaque requête est signée (protocole oAuth v1.0a)• Fonctionnelle : la requête doit porter sur le compte client / compte BAM authentifié.

Une spécificité liée au contexte bancaire :• Les jetons de sécurité oAuth ne sont valides que 30 min

22


22CYCLE DE VIE D’UNE APPLICATION CA STORE

Jeton de productionNe fonctionne que sur données

réelles (client)

Jeton de développementNe fonctionne que sur données de tests

(développeurs)

APP

23


23CYCLE DE VIE D’UNE APPLICATION CA STORE

Application en développement(fonctionne avec un jeton de

développement)

STORE

LabelisationNe s’applique qu’au moment de la

publication de l’application dans le store) + SURVEILLANCE

! Anomalie détectée

Application prête pour le déploiement

(fonctionne avec un jeton de production)

Jeton applicationNe fonctionne que sur données

réelles (client)

APP

Packaging

« Invalidation » du jeton application

24


24

PARTIE 4

BONNES PRATIQUES

25


25Les bonnes pratiques

• Ne pas recoder oAuth :

– Utiliser les librairies disponibles sur le web pour contourner les difficultés potentielles ou éviter de créer des failles desécurité

• Ne pas collecter d’information personnelle auprès du client, ne pas stocker d’information personnelle en parallèle des données CA Store au sein d’une application :

– Pour ne pas provoquer de rupture dans la chaîne d’anonymisation CA Store

• Penser au contexte multi-utilisateur / multi-BAM : pas d’agrégation des données

– En cas de stockage des données sur le mobile, veiller à bien distinguer les contextes utilisateurs

• Non diffusion des données vers l’extérieur « non justifiée »

– Les données issues de l’API CA Store, même anonymisées, doivent rester dans des environnements maitrisés / connus / référencés

– En cas de doute, ne pas hésiter à solliciter le basecamp CA Store.

• Respecter les standards de sécurité

– En particulier : ne pas contourner les mécanismes systèmes de vérification des certificats SSL

26


26Références

• URL du portail CA Store : https://www.creditagricolestore.fr/

• Documentation de l’API CA Store en ligne : https://www.creditagricolestore.fr/castore-data-provider/docs/V1/

• Espace communautaire entre les développeurs / digiculteurs CA Store : https://fnca.basecamphq.com/

• Exemple de client OAuth :

• Ex. Android : https://code.google.com/p/oauth-signpost/downloads/list

• Ex. iOS : https://github.com/bdbergeron/BDBOAuth1Manager

• Ex. JS : – https://github.com/bettiolo/oauth-signature-js

– http://oauth.googlecode.com/svn/code/javascript/

https://www.creditagricolestore.fr/


https://fnca.basecamphq.com/

https://code.google.com/p/oauth-signpost/downloads/list

https://github.com/bdbergeron/BDBOAuth1Manager

https://github.com/bettiolo/oauth-signature-js

http://oauth.googlecode.com/svn/code/javascript/

27


27

Questions ?

28


28

Harmonie Technologie Cabinet de conseil et d’expertise technique

Spécialiste de la sécurité du système d’information

60 rue la Boétie75 008 Paris

Nous contacter 01 73 54 30 00 / [email protected]

mailto:[email protected]

29


29Je suis client CA : Comment utiliser une application ?

Première connexion Création d’un compte client CA Store↗ Un lien d’inscription est disponible sur la page d’authentification

↗ L’utilisateur peut alors choisir ses identifiants

Authentification et accès aux données via une application mobile↗ De retour sur l’application, l’utilisateur peut s’authentifier en renseignant ses

identifiants choisis lors de l’inscription (plus de saisie des identifiants bancaires);

Raccordement des comptes BAM↗ Pendant la phase d’inscription, l’utilisateur CA Store est invité à raccorder son

compte BAM, c’est-à-dire saisir ses identifiants bancaires

↗ Les identifiants bancaires n’auront plus à être saisis par la suite

Technology

[MBF2] API Simone du Crédit Agricole Store par Guillaume Coindet