L'API est un outil pour les utilisateurs avancés afin d'élaborer des stratégies / d'automatiser, mais c'est aussi la voie de vol la plus courante. Cet article fournit la configuration de sécurité. Entrée de téléchargement : site officiel Binance, pour les mobiles l'app officielle Binance, pour iOS sans l'app, consultez le Guide d'installation iOS.
I. Autorisations de la clé API
| Autorisation | Défaut | Recommandation |
|---|---|---|
| Lecture seule (Read) | Activé | Activé |
| Trading Spot / Marge | Désactivé | Activer au besoin |
| Trading Futures | Désactivé | Activer au besoin |
| Transfert universel | Désactivé | Activer au besoin |
| Retrait | Désactivé | **Ne jamais activer** |
II. Le danger de l'autorisation de retrait
Une fois l'autorisation de retrait via l'API activée :
- L'obtention de la clé permet d'effectuer un retrait sans avoir besoin de 2FA.
- Il n'y a pas de délai de 24 heures.
- Il n'y a pas de restriction de liste blanche (à moins d'en configurer une spécifiquement).
Presque tous les vols importants liés aux API sont dus à l'activation de l'autorisation de retrait. À moins d'avoir une certitude absolue + un serveur physiquement isolé, ne l'activez jamais.
III. Liste blanche IP
La clé API peut être liée à une adresse IP spécifique :
- L'IP de votre serveur
- L'IP publique de la passerelle de votre domicile
Une fois liées, seules les requêtes provenant de ces adresses IP sont acceptées. Même si la clé est divulguée, l'attaquant ne peut pas l'utiliser depuis une autre IP.
Configuration
Gestion des API → Modifier la clé → Liste blanche IP → Ajouter une IP (plusieurs possibles).
Restrictions
L'IP du réseau domestique change occasionnellement (dynamique). L'utilisation d'un VPS commercial avec une IP statique est plus stable.
IV. Conservation des clés
Le secret (secret key) vu après la création de l'API n'est affiché qu'une seule fois. Conservation :
Recommandé
- Un gestionnaire de mots de passe comme 1Password / Bitwarden
- Des notes chiffrées
- Le fichier .env du serveur (permissions 600)
À proscrire
- Soumettre sur GitHub / GitLab
- Se l'envoyer par e-mail
- L'envoyer à l'équipe sur Slack / WeChat
- Enregistrer une capture d'écran sur le cloud
- L'écrire dans les commentaires du code
V. Signes de vol d'API
Vérifiez régulièrement la page de gestion des API :
- Y a-t-il des clés que vous n'avez pas créées ?
- Les autorisations des clés existantes ont-elles été modifiées (en particulier les retraits) ?
- La liste blanche IP a-t-elle été modifiée ?
- Heure de l'appel récent.
En cas d'anomalie, supprimez immédiatement la clé.
VI. Rotation régulière
Fréquence
- Haut risque (trading quantitatif) : Une fois par mois
- Stratégie standard : Chaque trimestre
- Surveillance en lecture seule uniquement : Tous les semestres
Processus
- Créer une nouvelle clé
- Mettre à jour le code de la stratégie
- Tester le fonctionnement de la nouvelle clé
- Supprimer l'ancienne clé
- Ne pas conserver plusieurs clés pour le même usage à long terme
VII. Urgence en cas de vol d'API
Si vous découvrez une anomalie sur la clé :
Immédiatement
- Connectez-vous à binance.com → Gestion des API
- Supprimez toutes les clés (supprimer tout en un clic)
- Modifiez le mot de passe Binance
- Réinitialisez la 2FA (l'attaquant a peut-être aussi mis la main dessus)
Ensuite
- Vérifiez l'historique des transactions / l'historique des retraits
- Soumettez un ticket "Vol d'API"
- Lancez une analyse antivirus sur tous les appareils ayant stocké la clé
- Recherchez la source de la fuite (GitHub public ? Ordinateur d'un collègue ?)
À long terme
- Activez toutes les protections lors de la génération de clés (liste blanche IP, restriction des autorisations).
- N'activez plus l'autorisation de retrait.
VIII. Relation entre API et 2FA
L'appel d'API lui-même ne nécessite pas de 2FA — c'est l'avantage de l'API. Cependant :
- La création / suppression d'une clé nécessite la 2FA.
- La modification des autorisations de la clé nécessite la 2FA.
- La modification de la liste blanche IP nécessite la 2FA.
Donc, une 2FA forte = création d'API protégée = il est difficile pour un attaquant de créer directement une clé malveillante.
IX. Précautions pour connecter l'API à des plateformes tierces
Certaines plateformes de copy trading / d'arbitrage vous demandent de fournir la clé API :
Évaluation
- La plateforme est-elle conforme ?
- Demande-t-elle l'autorisation de retrait ? (Si oui → Refuser).
- Verrouille-t-elle l'IP ? (Si non → Soyez vigilant).
Recommandations
- N'accordez que les autorisations "Lecture seule + Trading".
- Verrouillez l'IP sur l'IP publique de la plateforme.
- Vérifiez l'état de la clé tous les deux mois.
FAQ
Q1 : Au bout de combien de temps la clé API expire-t-elle ? Elle n'expire pas automatiquement. Il faut la renouveler ou la supprimer manuellement.
Q2 : Que se passe-t-il pour la stratégie en cours d'exécution après la suppression de la clé ? Elle est immédiatement déconnectée. Les autres requêtes renverront une erreur d'authentification.
Q3 : Est-il possible de limiter le montant maximum des transactions par jour ? L'API de Binance a un rate limit intégré, mais l'utilisateur ne peut pas définir de "limite journalière" au niveau de son compte. Cela doit être implémenté dans le code de la stratégie elle-même.
Q4 : Pourquoi est-ce que je vois certaines clés qui sont constamment utilisées mais dont je ne me souviens pas les avoir créées ? Supprimez-les immédiatement, et traitez cela comme un vol.
Lectures complémentaires
- Que faire s'il y a des enregistrements de connexion inconnus dans la gestion des appareils Binance ? Comment exécuter la checklist d'urgence
- Un compte Binance volé peut-il encore être récupéré ?
- Comment surveiller à long terme les signaux de phishing sur son compte Binance ? 4 actions à effectuer une fois par mois