Telecharger l'App Binance

Vos cryptos peuvent-elles être volées en cas de fuite de la clé API Binance ?

2026/4/5 28 minutes
#Securite du Compte

Les traders quantitatifs, les utilisateurs de bots de trading sur grille et les spécialistes de l'arbitrage inter-bourses ne peuvent pas se passer de la clé API. Mais que se passe-t-il une fois qu'une clé API est divulguée ? Voici la conclusion : si vous n'avez activé que l'autorisation de "lecture" et lié une liste blanche d'IP, le risque de fuite est quasiment nul ; si vous avez activé la permission de "retrait" sans liste blanche d'IP, vos fonds peuvent être transférés en quelques minutes. Toute la différence réside dans la configuration de vos permissions. Cet article clarifie les niveaux de permission des clés API, la bonne configuration, les listes blanches d'IP, les stratégies de rotation régulière et les mesures d'urgence après une fuite. Avant de configurer l'API, connectez-vous au site officiel Binance, la configuration de l'API est plus intuitive sur l'interface Web ; vous pouvez également gérer cela au quotidien via l'App officielle Binance ; si vous êtes sur iPhone et ne la trouvez pas, lisez le tutoriel d'installation iOS pour l'installer en premier.

Qu'est-ce qu'une clé API au juste ?

L'API (Application Programming Interface) est l'interface ouverte par l'échange pour les programmes, chaque clé API est composée de deux parties :

  • API Key : La partie publique, équivalente à votre nom d'utilisateur ;
  • Secret Key : La partie secrète, équivalente à votre mot de passe, qui ne s'affiche qu'une seule fois à la création.

Les programmes tiers (bots sur grille, stratégies quantitatives, collecteurs de données) équipés de cette paire de clés peuvent agir sur votre compte sans nécessiter de connexion Web.

Le danger de la clé API est le suivant : elle peut contourner l'authentification 2FA. Lors de sa création, elle passe par une validation 2FA, mais par la suite, le programme n'a plus besoin d'être authentifié à chaque appel. C'est pourquoi la configuration des permissions doit être gérée avec encore plus de prudence que la configuration du 2FA.

Niveaux de permission de l'API Binance

Binance a divisé les autorisations API en plusieurs niveaux, classés du risque le plus faible au plus élevé.

Autorisation Actions possibles État par défaut Risque de fuite
Lecture Consulter soldes, ordres, graphiques en chandeliers Activé par défaut Faible
Trading Spot Placer des ordres d'achat/vente Nécessite l'activation Moyen
Trading sur Marge Emprunter/prêter et trader avec levier Nécessite l'activation Moyen à élevé
Trading Futures Ouvrir des positions de contrats à terme Nécessite l'activation Moyen à élevé
Transfert Transférer des fonds entre comptes internes Nécessite l'activation Élevé
Retrait Retirer des fonds vers une adresse on-chain Nécessite l'activation Extrêmement élevé
Transfert Interne Envoyer des fonds à d'autres utilisateurs Binance Nécessite l'activation Extrêmement élevé

Règle d'or : N'activez toujours que les autorisations strictement nécessaires pour vos opérations. Rien de plus. Les stratégies quantitatives n'ont généralement besoin que de "Lecture + Trading Spot", et n'ont pas besoin du retrait.

Le modèle de configuration API le plus strict

Voici les configurations recommandées, adaptées à la plupart des scénarios.

Scénario 1 : Collecte de données sans passage d'ordre

  • Lecture : Activé
  • Autres : Tous désactivés
  • Liste blanche d'IP : Activée (liée à l'IP de votre serveur)
  • Validité : Expire automatiquement après 180 jours

Scénario 2 : Bot de trading sur grille / Trading quantitatif

  • Lecture : Activé
  • Trading Spot : Activé
  • Trading Futures : Selon les besoins
  • Transfert : Désactivé (le plus crucial)
  • Retrait : Absolument désactivé
  • Liste blanche d'IP : Activée (liée à l'IP du serveur du bot)
  • Validité : 30-90 jours

Scénario 3 : Arbitrage inter-bourses (transferts et retraits requis)

  • Lecture : Activé
  • Trading Spot : Activé
  • Retrait : Activé (uniquement vers des adresses en liste blanche)
  • Liste blanche des retraits : Ajoutez seulement l'adresse de dépôt de l'autre échange
  • Liste blanche d'IP : Activée
  • Validité : 7-30 jours

Scénario 4 : Vérification de compte et statistiques

  • Lecture : Activé
  • Autres : Tous désactivés
  • Liste blanche d'IP : Activée
  • Validité : 30 jours

La liste blanche d'IP est le deuxième verrou de l'API

La liste blanche d'IP et les autorisations de l'API fonctionnent ensemble : sans liste blanche d'IP, même la simple autorisation de lecture peut être exploitée (pour vérifier la confidentialité de vos positions).

Comment lier une liste blanche d'IP

  1. Connectez-vous à Binance → Compte → Gestion API ;
  2. Trouvez la clé API correspondante, cliquez sur "Éditer" ;
  3. Pour "Restrictions d'accès IP", sélectionnez "Restreindre l'accès aux adresses IP de confiance uniquement" ;
  4. Entrez l'adresse IP publique de votre serveur (vous pouvez en saisir plusieurs, séparées par une virgule en anglais) ;
  5. Soumettez.

Comment trouver votre adresse IP publique

  • Sur un serveur, exécutez curl ifconfig.me ou curl ip.sb ;
  • Sur un navigateur local, visitez ip.sb pour voir votre adresse IP.

Que faire si l'IP est dynamique ?

  • Le haut débit domestique utilise généralement une IP publique dynamique qui peut changer chaque jour ;
  • Solution : ① Louer un VPS avec IP fixe pour héberger le bot ; ② Utiliser le DDNS + l'API Binance pour mettre à jour régulièrement la liste blanche ; ③ Passer à une IP de sortie fixe chez un fournisseur de cloud.

Une clé API sans liste blanche d'IP revient à se promener nu en cas de fuite.

Scénarios courants de fuite de clé API

Beaucoup de gens ignorent comment leur API a fuité. Voici les scénarios de fuite typiques.

Scénario A : Code envoyé sur GitHub

Le plus courant. Les développeurs codent en dur l'API_KEY et la SECRET dans un script Python, puis le poussent ("push") vers un dépôt public. Des bots scannent GitHub 24/7, la fuite sera exploitée en quelques minutes.

Prévention : Stockez les clés dans des variables d'environnement ou un fichier .env, et ajoutez *.env au .gitignore.

Scénario B : Collé dans des outils tiers

Certaines plateformes quantitatives inconnues ou des services de signaux de trading vous demandent de soumettre votre clé API pour la "surveillance". Ces plateformes conserveront très probablement la clé.

Prévention : N'utilisez que les partenaires officiellement certifiés par Binance ou des plateformes connues et bien établies (3Commas, CoinGlass, etc.).

Scénario C : L'ordinateur est infecté par un cheval de Troie

Les chevaux de Troie surveillent le presse-papiers et les fichiers de configuration courants pour extraire les clés locales.

Prévention : La machine dédiée au bot ne doit faire fonctionner que le bot, sans navigation sur le web ni vidéos ; utilisez un antivirus connu ; faites tourner les clés API régulièrement.

Scénario D : Départ d'un employé avec la clé

L'équipe partage une seule clé API et oublie de la réinitialiser lorsqu'un employé s'en va.

Prévention : Chaque membre a sa propre clé, invalidée immédiatement après son départ ; les opérations majeures passent par des adresses en liste blanche.

Scénario E : Le serveur cloud a été compromis

Les mots de passe faibles des serveurs, ou l'exposition SSH au réseau public conduisent à des attaques en force brute.

Prévention : Changer le port SSH + désactiver la connexion par mot de passe + autoriser uniquement la connexion par clé ; le pare-feu ne doit ouvrir que les ports nécessaires ; appliquer régulièrement les correctifs système.

Stratégie de rotation régulière des clés API

Même si elle n'a pas fuité pour le moment, les risques augmentent avec le temps. Une rotation périodique est recommandée.

Cycle de rotation

  • Trading à haute fréquence : Tous les 30 jours ;
  • Fréquence moyenne : Tous les 60-90 jours ;
  • Requêtes de données à basse fréquence : Tous les 180 jours ;
  • Débogage unique : Supprimez immédiatement après utilisation.

Étapes de la rotation

  1. Créez une nouvelle clé API ;
  2. Mettez à jour la configuration de votre bot ou script ;
  3. Testez que la nouvelle clé fonctionne normalement ;
  4. Supprimez l'ancienne clé API dans l'interface Binance ;
  5. Enregistrez la date de cette rotation.

Que faire si la clé API a déjà fuité ?

Si cela arrive, suivez cette liste de contrôle le plus rapidement possible.

Traitement d'urgence (dans les 5 minutes)

  1. Connectez-vous à Binance → Gestion API → Supprimez immédiatement l'API compromise ;
  2. Vérifiez les avoirs du compte pour repérer des variations anormales ;
  3. Consultez l'historique des fonds pour voir s'il y a des retraits/transferts anormaux ;
  4. Gelez le compte (si vous découvrez des transactions anormales massives) ;
  5. Changez le mot de passe + réinitialisez le 2FA (certains attaquants utiliseront l'API pour remonter aux informations du compte).

Surveillance continue (dans les 24 heures)

  1. Surveillez votre messagerie pour de nouvelles alertes d'appel API ;
  2. Vérifiez les positions et les soldes toutes les heures ;
  3. Contrôlez GitHub, vos dépôts de code et stockages cloud pour d'éventuelles autres sources de fuite ;
  4. Activez la notification de connexion depuis un lieu inhabituel sur Binance ;
  5. Si des pertes financières surviennent, contactez le service client pour lancer la procédure de réclamation.

Renforcement à long terme (dans les 7 jours)

  1. Nettoyez tous les dépôts de code historiques où des clés auraient pu fuiter ;
  2. Configurez GitHub Secret Scanning ;
  3. Remplacez toutes les utilisations d'API par des variables d'environnement ;
  4. Sécurisez le serveur (changez le port SSH, activez le pare-feu) ;
  5. Envisagez d'utiliser une clé matérielle pour l'authentification à deux facteurs.

Quels fonds sont les plus menacés après une fuite de clé API ?

Classés par probabilité de vol :

  1. Solde Spot : Si la permission de trading spot est activée, l'attaquant vendra à un prix dérisoire via un ordre au marché pour qu'un autre compte l'achète. C'est ce qu'on appelle du "wash trading".
  2. Compte Futures : Si les autorisations pour les contrats à terme sont activées, l'attaquant prendra des positions inversées avec un fort effet de levier pour provoquer une liquidation de votre compte.
  3. Actifs on-chain : Si les retraits sont activés sans liste blanche d'adresses, ils videront vos fonds en quelques minutes.
  4. Confidentialité de l'historique des commandes : Même l'autorisation de lecture seule révèle vos positions et votre historique de trading, affectant la confidentialité.
  5. Utilisé comme compte zombie : Intégré à une matrice de "wash trading" de l'attaquant, générant d'innombrables petites transactions.

Questions fréquentes

La Secret Key de l'API peut-elle être réinitialisée ?

Non. La Secret Key n'apparaît qu'une seule fois au moment de la création et ne sera plus jamais visible. Si vous perdez la Secret Key ou si elle fuit, vous devez supprimer l'ancienne clé API et en créer une nouvelle.

Puis-je modifier les autorisations de la clé API à tout moment ?

Oui. Éditez-la dans la section Gestion API et modifiez les autorisations ou la liste blanche d'IP. Vous devrez utiliser le 2FA pour valider les changements.

Les clés API Binance ont-elles une date d'expiration ?

Lorsque des autorisations avancées sont activées (comme les retraits), Binance impose de fixer une période de validité de 90 jours maximum par défaut. Elle expirera automatiquement. Les clés API basiques n'ont pas de date d'expiration stricte, mais celles inutilisées depuis longtemps seront périodiquement nettoyées par Binance.

Combien de clés API un seul compte peut-il créer ?

La limite est généralement de 30 clés. Il est recommandé de créer une clé par opération pour simplifier la gestion et l'isolation.

Les clés API du sous-compte sont-elles isolées de celles du compte principal ?

Oui, totalement isolées. L'API d'un sous-compte ne peut opérer que sur les actifs du sous-compte et ne peut pas accéder au compte principal. C'est pourquoi les gros capitaux utilisent de préférence les sous-comptes pour exécuter leurs stratégies.

Quelles sont les règles de limitation de fréquence des requêtes API ?

Le Spot est limité à environ 1200 pondérations par seconde, et les Futures à environ 2400 pondérations par seconde. Une seule IP est limitée à environ 6000 requêtes par minute. Les stratégies quantitatives doivent intégrer des mécanismes de limitation de fréquence, sous peine de déclencher des bannissements. Pour plus de détails, veuillez consulter la documentation officielle de l'API Binance.

Résumé

Le risque lié aux clés API dépend entièrement de votre configuration, et non de la clé elle-même. Les trois règles d'or sont : ① minimiser les autorisations (désactiver si non nécessaire), ② toujours activer la liste blanche d'IP (liée à l'IP de votre serveur), et ③ effectuer une rotation régulière (tous les 30 à 90 jours). Ajoutez à cela l'autodiscipline absolue de ne jamais commettre la Secret Key sur les dépôts de code, et la sécurité de votre API fera partie de l'élite. Les traders quantitatifs en particulier doivent considérer la sécurité de l'API comme aussi importante que la sécurité des fonds — cest tout simplement une clé de votre coffre-fort. Ouvrez maintenant la page de Gestion API du site officiel Binance, supprimez toutes les clés API inutilisées ou vieilles de plus de 90 jours, et liez la liste blanche d'IP à celles qui restent.