1

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015

1

PARTENAIRESECURITE

Webinar #2

2015 V1.0

2

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015

2Outils développeurs : Comment soumettre mon application ?

Création d’un jeton de production

Réception du mail de validation- L’application a été validée par CA Store- Elle est maintenant référencée sur le portail CA Store et fonctionnelle pour les clients- A noter : l’application ne fonctionne plus avec les comptes développeurs

- Délai de validation par CA Store (quelques jours, durée dépendante de la complexité de l’application)

Packaging et livraison sur le(s) store(s)- Le développeur insère le jeton de production dans son code à la place du jeton de dév.

- L’application doit ensuite être déployée dans les stores

Demande de publication- Cette demande signale à CA Store que l’application est prête à être ouverte au client

- CA Store peut alors déclencher le processus de contrôle (sécurité / conformité)

- Délai de validation par APPLE si application iOS (penser à fournir des comptes de tests à APPLE (i.e. compte développeur quelconque))

3

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015

3

Démo

Outils développeurs : Comment soumettre mon application ?

https://www.youtube.com/watch?v=8c1BsL-YiYQ

4

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015

4Customisation des Web View (1/2)

Possibilité d’injecter un CSS pour personnaliser le graphisme et les textes des Web View

Web View d’origine Exemple de customisation

Powered by CA Store

5

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015

5Customisation des Web View (2/2)

Fonctionnalité administrable via l’espace développeur sur le portail Web CA Store

A NOTER - 1 seul fichier CSS pour customiser l’ensemble des WebView (authentification, virement, etc.)

- 1 fichier CSS par application (i.e. : un upload CSS pour l’application de développement + 1 upload de CSS pour l’application de production)

- La customisation CSS s’applique immédiatement pour une application en cours de développement, mais reste soumise à validation pour une application de production

- Obligation de conserver, a minima, le label (powered by CA Store)- Dans le process de déploiement, l’injection du CSS doit être faite avant la demande de publication

Upload du fichier CSS

Filtrage des Caisses RégionalesPermet de lister les caisses disponibles lorsque l’utilisateur s’inscrit au travers de votre application

6

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015

6Fonctionnalités complémentaires : virement bancaire (1/3)

Page dédiée dans la documentation :https://www.creditagricolestore.fr/castore-data-provider/docs/V1/transfer.html

1 Préparation du virement 2 Exécution du virement 3 Reprise en main par l’application

- Appelle d’une page hébergée par le serveur, via un objet Web View dans l’application

- Le client y invité à se ré-authentifié

- Etape à la charge de l’application

- Vise à récupérer l’ensemble des pré-requis fonctionnel (choix des comptes) et technique (demande d’un nouveau jeton OAuth)

- Mécanisme de redirection disponible (url de retour à indiquer lors de l’appelle à la Web View)

7

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015

7Fonctionnalités complémentaires : virement bancaire (2/3)

Page dédiée dans la documentation :https://www.creditagricolestore.fr/castore-data-provider/docs/V1/transfer.html

1 Préparation du virement 2 Exécution du virement 3 Reprise en main par l’application

- Mécanisme de redirection disponible (url de retour à indiquer lors de l’appelle à la Web View)

https://www.creditagricolestore.fr/castore-data-provider/rest/V1/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptesEmetteurs

https://www.creditagricolestore.fr/castore-data-provider/rest/V1/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptesDestinataires

https://www.creditagricolestore.fr/castore‐data‐provider/authentification/virement?identifiantCompteBAM=17477696224051299&identifiantCompteEmetteur=17477695929326256&identifiantCompteBeneficiaire=17477696151769798&montant=500&libelleVirement=Test virement&refOperation=Operationtest&redirectPage=http://mycallback&oauth_token=https://www.creditagricolestore.fr/castore‐oauth/resources/1/oauth/rtoken/b2975e228eef4d8b92c5436552d56588

8

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015

8Fonctionnalités complémentaires : virement bancaire (3/3)

Astuce complémentaire : Forcer le rafraichissement des données après un virement

https://www.creditagricolestore.fr/castore-data-provider/rest/V1

/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptesGET

Après un virement réussi, le solde d’un ou plusieurs comptes a pu évolué.Le système de cache CA-Store peut potentiellement masquer cette information dans la session en cours.Afin de forcer le rafraîchissement des données, l’application peut avoir recours ponctuellement au header Cache-Control pour forcer le rafraîchissement des données.

Header Cache-Control : no-cache

A NOTER - Cette fonctionnalité ne doit être utilisée qu’après un virement- Tout abus de cette fonctionnalités (ex. : usage systématique du header Cache-Control) pourra aboutir à une non

validation de l’application- Dans le process de déploiement, l’injection du CSS doit être faite avant la demande de publication

9

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015

9

Exemple de code

Fonctionnalités complémentaires : virement bancaire (3/3)

https://github.com/CA-Store-MBF2/CA-Store-Android-sample

10

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015

10Fonctionnalités complémentaires : ordre d’affichage des comptes bancaires

https://www.creditagricolestore.fr/castore-data-provider/rest/V1

/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptesGET

Résultat :

Index : Ordre d’affichage conseillé par défaut dans l’application

Groupe : regroupement des comptes par type d’appartenance au client (titulaire, co-titulaire, mandataire)

- Le premier groupe est nommé « Titulaire » : ce sont les comptes qui appartiennent au client

- Les autres groupes auront des noms types « Groupe 1 », « Groupe 2 »

- Il n’est pas possible d’identifier le type des autres groupes

11

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015

11

Questions ?

12

HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole StoreCrédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015

12

Harmonie Technologie Cabinet de conseil et d’expertise technique

Spécialiste de la sécurité du système d’information

60 rue la Boétie75 008 Paris

Nous contacter 01 73 54 30 00 / info.ssi@harmonie-technologie.com