Comment configurer les permissions de l'API Binance en toute sécurité : la liste blanche IP est indispensable

La fuite d'une clé API peut entraîner des pertes plus ou moins lourdes. Commencez par vérifier votre liste d'API sur le site officiel de Binance. Pour la gestion sur mobile, utilisez l' application officielle de Binance (pour iOS, voir le tutoriel d'installation iOS).

Niveaux de permissions API

Permission	Niveau de risque
Lecture seule	Très faible
Trading Spot	Moyen
Trading sur Marge	Moyen
Trading Futures	Moyen
Transferts internes (Sous-comptes)	Moyen à Élevé
Retraits	Très élevé

Appliquez toujours le principe du moindre privilège : n'accordez que les permissions strictement nécessaires.

Ne jamais activer les retraits

À moins que vous ne développiez une activité spécifique nécessitant des retraits automatisés (comme une passerelle d'échange), n'activez jamais cette option.

Si elle est activée, un attaquant ayant accès à votre clé pourrait vider votre compte instantanément. Même une liste blanche IP peut parfois être contournée dans des scénarios complexes.

Le rôle de la liste blanche IP (IP Whitelist)

Cette option garantit que seules les requêtes provenant d'adresses IP spécifiques sont acceptées. Même si quelqu'un dérobe votre clé, il ne pourra pas l'utiliser depuis une autre adresse IP.

Adresses à lier :

• Votre IP domestique (si elle est fixe).
• L'IP de votre serveur VPS.
• L'IP fixe de votre entreprise.

Que faire sans adresse IP fixe ?

La plupart des connexions domestiques utilisent des IP dynamiques. Solutions :

1. Utiliser un VPS

Les fournisseurs de cloud (DigitalOcean, Vultr, AWS) proposent des serveurs VPS avec une IP fixe pour 5 à 10 $ par mois. Faites tourner votre code directement sur le VPS.

2. Tunneling (Infrarouge)

Des outils comme frpc ou ngrok peuvent exposer une adresse fixe, mais leur stabilité est souvent insuffisante pour le trading.

3. Pas de liaison (Risque élevé)

Non recommandé, sauf pour des clés de consultation de prix uniquement.

Isolation par clés multiples

Utilisez différentes clés pour différents usages :

Usage	Clé
Consultation de prix	Clé A (Lecture seule)
Stratégie Spot	Clé B (Spot + Liste blanche IP)
Stratégie Futures	Clé C (Futures + Liste blanche IP)
Urgence	Clé D (Désactivée, à activer seulement en cas de besoin)

Si une clé est compromise, supprimez-la simplement : les autres ne seront pas affectées.

Stockage sécurisé des clés

La clé secrète (Secret Key) doit être conservée avec soin :

• Dans un gestionnaire de mots de passe (1Password, Bitwarden).
• Via des variables d'environnement (ne jamais l'écrire en dur dans le code).
• Dans un fichier .env chiffré.

Ne publiez jamais votre Secret Key sur GitHub. Des milliers de développeurs se font voler leurs fonds chaque année à cause de cette erreur.

Bonnes pratiques de codage

# Recommandé
import os
secret = os.environ['BINANCE_SECRET']

# À bannir
secret = 'abc123def456...'

Les variables d'environnement sont lues depuis le système d'exploitation et ne figurent pas dans votre code source.

Audit régulier

Chaque mois :

1. Connectez-vous à Binance et consultez la liste des API.
2. Vérifiez que chaque clé est toujours nécessaire.
3. Supprimez les clés inutilisées.
4. Supprimez et recréez immédiatement toute clé suspectée de fuite.

Signes d'une compromission de clé

• Apparition d'ordres inattendus.
• Diminution inexpliquée des actifs.
• Connexion depuis une IP inhabituelle.
• Pics anormaux dans les statistiques d'appels API.

Dès l'apparition d'un de ces signes :

1. Supprimez toutes les clés API.
2. Changez votre mot de passe.
3. Réinitialisez votre 2FA.
4. Contactez le service client.

Rotation des clés API

Une pratique rigoureuse consiste à renouveler ses clés tous les 90 jours, même si aucune fuite n'est suspectée. Cela réduit considérablement la fenêtre d'exposition en cas d'attaque.

API et sous-comptes

L'utilisation de sous-comptes offre une meilleure isolation :

• Le compte principal n'a pas d'API active.
• Les fonds sont répartis dans des sous-comptes.
• Chaque sous-compte fait tourner sa propre stratégie via sa propre API.
• Si un sous-compte est compromis, le compte principal et les autres sous-comptes restent en sécurité.

Permissions API + 2FA

Les opérations via API ne nécessitent pas de 2FA (c'est là que réside le risque). Cependant, la création, la modification ou la suppression d'une clé API nécessite obligatoirement une validation 2FA et une confirmation par e-mail.

Liste de vérification de sécurité (Checklist)

• [ ] Permissions minimales pour chaque clé.
• [ ] Retraits désactivés.
• [ ] Liste blanche IP configurée.
• [ ] Clé secrète absente des dépôts de code (Git).
• [ ] Utilisation de variables d'environnement.
• [ ] Audit mensuel effectué.
• [ ] Rotation tous les 90 jours.
• [ ] Isolation via des sous-comptes.

Plateformes tierces et API

Si vous utilisez des outils comme 3Commas ou d'autres plateformes de trading :

• N'accordez que les permissions Spot/Futures, jamais les retraits.
• Liez la clé à la liste blanche IP fournie par la plateforme.
• Évaluez chaque année si vous avez toujours besoin de ce service.

N'oubliez pas que si une plateforme tierce est piratée, votre clé associée l'est aussi.

Questions Fréquemment Posées

Peut-on récupérer ses fonds après un vol via API ? Généralement non. Binance enquêtera, mais le taux de récupération est très faible. La prévention est votre seule réelle protection.

Peut-on être banni définitivement en cas de dépassement de limite de débit ? Non, le blocage est temporaire.

Puis-je gérer plusieurs comptes via une seule API ? Non, chaque compte possède ses propres clés. Vous pouvez cependant les utiliser simultanément dans votre programme.

Que faire si j'oublie ma Secret Key ? Elle ne peut pas être récupérée. Vous devez supprimer la clé existante et en créer une nouvelle.

Lectures complémentaires

• Guide de démarrage API
• Checklist sécurité
• Arbitrage via API

Sans une sécurité API rigoureuse, vos compétences techniques ne serviront qu'à enrichir des pirates. Verrouillez vos permissions et vos adresses IP dès maintenant.