Tutoriels pratiques Binance A propos Avertissement
EN JA KO ES FR
TK Crypto Actu TK Crypto Actu Site officiel Binance · Telechargement · Compte · Portefeuille
Rechercher un tutoriel Binance
Accueil Tous les tutoriels Categories Telecharger l'APP A propos Avertissement
Pour debuterInstallationVerification identiteDepots et retraitsGuide de tradingPanorama des exchangesSecuritePolitiques par paysGuide portefeuille
Accueil Tous les tutorielsSecuriteGuide de tradingLa clé API Binance est-elle sécurisée ? Comment la gérer et la supprimer

La clé API Binance est-elle sécurisée ? Comment la gérer et la supprimer

TK Crypto Actu · 2026-04-08 · Environ25min·Securite·Guide de trading

L'API Key est la clé du trading programmatique, et c'est aussi la porte dérobée préférée des voleurs de comptes — de nombreux cas de "comptes volés sans fuite de mot de passe" sont dus à des problèmes de clé API. Cet article explique clairement le système de permissions, la liste blanche IP et le principe du privilège minimum des clés API, ainsi que la manière de nettoyer régulièrement les clés qui ne sont plus utilisées. Le point d'entrée pour la gestion se trouve dans les paramètres du compte. Connectez-vous au site officiel de Binance pour accéder à la page de gestion des API. Sur mobile, vous pouvez également le consulter via l'application officielle Binance. Les utilisateurs Apple peuvent consulter le Tutoriel d'installation iOS.

Qu'est-ce qu'une API Key ?

L'API Key (Clé de l'interface de programmation d'application) est un certificat qui permet à un programme d'opérer sur votre compte à votre place.

Une clé API se compose de deux parties :

  • L'API Key (clé publique) : Vous identifie, par exemple xH3kL9...
  • La Secret Key (clé privée) : Utilisée pour signer les demandes, ne doit absolument pas être divulguée

Avec ces deux éléments + les autorisations correspondantes, n'importe quel programme peut agir sur votre compte Binance comme vous-même — vérifier les actifs, passer des ordres, effectuer des retraits, etc.

Quand avez-vous besoin d'une clé API ?

Scénario 1 : Trading quantitatif

Écrire un bot de trading avec des langages comme Python ou Node.js, passant automatiquement des ordres via l'API. Nécessite les autorisations de lecture du compte + trading spot + trading de futures.

Scénario 2 : Synchronisation des signaux de trading

Copier les positions d'une bourse vers une autre. Nécessite les autorisations de lecture des positions + passage d'ordres.

Scénario 3 : Suivi des actifs

S'interfacer avec des outils de gestion d'actifs tels que CoinGecko ou CoinStats, pour mettre à jour automatiquement vos positions. Nécessite uniquement l'autorisation de lecture.

Scénario 4 : Logiciels fiscaux

Des outils de calcul des impôts comme Koinly ou Cointracker ont besoin de lire votre historique de trading. Nécessitent uniquement l'autorisation de lecture.

Si vous n'avez aucun de ces besoins → ne créez pas de clé API. L'existence d'une clé API est un risque potentiel en soi.

Les types d'autorisations des clés API

Les clés API de Binance prennent en charge des autorisations granulaires, dont plusieurs peuvent être cochées :

1. Lecture (par défaut)

  • Permet : de voir les informations du compte, l'historique des commandes, télécharger l'historique
  • Ne permet pas : de passer des commandes, de retirer des fonds, de transférer
  • Sécurité : Maximale

2. Trading Spot et Marge

  • Permet : de passer des commandes, d'annuler des commandes, de vérifier les commandes
  • Ne permet pas : de retirer des fonds
  • Sécurité : Moyenne (les pertes maximales se limitent aux actifs en trading)

3. Trading de Futures

  • Permet : de passer des ordres sur les futures, d'ouvrir/fermer des positions, d'ajuster l'effet de levier
  • Ne permet pas : de retirer des fonds
  • Sécurité : Moyenne à faible (perte rapide avec un fort effet de levier)

4. Transfert

  • Permet : de transférer des actifs entre vos sous-comptes, entre différents portefeuilles (Spot/Futures/Épargne)
  • Ne permet pas : de transférer vers une adresse on-chain tierce
  • Sécurité : Moyenne

5. Retrait

  • Permet : de retirer des fonds vers n'importe quelle adresse (par défaut) ou une adresse sur liste blanche
  • Désactivé par défaut, nécessite une vérification manuelle
  • Sécurité : La plus basse
  • Désactivé par défaut lors de la création d'une nouvelle clé, il est fortement recommandé de ne jamais l'activer

Principe du privilège minimum

Moins la clé API a d'autorisations, plus le compte est en sécurité.

Scénario en lecture seule

Cochez uniquement "Lecture". Même si la clé est divulguée, l'attaquant ne peut que regarder, pas agir. C'est ce qui est utilisé pour les outils fiscaux et le suivi des actifs.

Scénario de trading sans retrait

Cochez "Lecture + Trading Spot + Trading de Futures", et ne cochez absolument pas "Retrait". C'est le standard pour le trading quantitatif. Même si la clé est volée, le voleur ne peut, au pire, que passer des ordres de manière aléatoire sur votre compte, mais ne peut pas retirer les cryptos.

Scénario de copie cross-plateforme

Cochez "Lecture + Trading". N'activez pas le transfert ou le retrait.

En un mot : N'activez que ce dont vous avez absolument besoin.

La liste blanche IP : la ligne de défense ultime

La liste blanche IP permet à la clé API de ne pouvoir être appelée qu'à partir de l'adresse IP spécifiée. Même si d'autres adresses IP obtiennent la clé, elles ne peuvent pas l'utiliser.

Comment configurer la liste blanche IP

  1. Lors de la création de la clé API → Cochez "Restreindre l'accès aux adresses IP de confiance"
  2. Entrez les adresses IP autorisées (il peut y en avoir plusieurs, séparées par des virgules)
  3. Enregistrez

Comment connaître sa propre adresse IP

  • Exécution locale : Visitez whatismyipaddress.com pour vérifier votre adresse IP publique
  • Exécution sur serveur cloud : Vérifiez l'IP publique de l'instance dans le panneau d'administration du fournisseur cloud
  • IP dynamique : La liste blanche IP ne peut pas être utilisée (nécessite une IP statique ou un VPS)

La puissance de la liste blanche IP

Même si un pirate informatique obtient votre API Key et votre Secret, il ne pourra pas les utiliser depuis son propre ordinateur, car son adresse IP ne figure pas sur la liste blanche. C'est la solution ultime contre les fuites d'API.

Limitations de la liste blanche IP

  • Ne prend en charge que l'IPv4 (l'IPv6 peut être instable)
  • Vous devez mettre à jour manuellement la liste blanche si votre adresse IP change
  • Inadapté pour les adresses IP domestiques dynamiques

Étapes de création d'une clé API

Étape 1 : Allez dans "Gestion des API"

  1. Connectez-vous à binance.com
  2. Cliquez sur votre profil en haut à droite → "Gestion des API"
  3. Cliquez sur "Créer une API"

Étape 2 : Choisissez le type

  • Générée par le système (Recommandé) : le système génère automatiquement une paire de clés
  • Paire de clés auto-générée (Avancé) : utilisez vos propres clés publiques et privées générées pour télécharger la clé publique

Étape 3 : Donnez un nom (Tag)

Donnez à l'API un nom explicite, par exemple :

  • Bot Quantitatif - Stratégie BTC
  • Impôts - Koinly
  • Copy Trading - Bitget

Le nom vous aide à identifier l'utilisation lors des futurs tris.

Étape 4 : Terminez la vérification de sécurité

  • Code de vérification par e-mail
  • Code de vérification par SMS (si associé)
  • Code à 6 chiffres de Google Authenticator

Étape 5 : Configurez les autorisations

Cochez en fonction du principe du minimum, ne cochez rien en trop.

Étape 6 : Configurez la liste blanche IP

Fortement recommandé à cocher. Entrez l'adresse IP du serveur.

Étape 7 : Enregistrez et notez le Secret

Le Secret n'est affiché qu'une seule fois au moment de sa création. Copiez-le et conservez-le immédiatement dans un endroit sûr (ne faites pas de capture d'écran, ne l'envoyez pas par e-mail, ne le stockez pas sur le cloud). Une fois la page fermée, il ne pourra plus jamais être revu.

Nettoyage régulier des clés API inutilisées

Pourquoi nettoyer ?

  • Chaque clé est une surface d'attaque potentielle
  • Vous avez peut-être oublié où une certaine clé s'exécute encore
  • Les anciennes clés peuvent avoir des autorisations trop larges et ne pas être sûres

Conseils de nettoyage

  • Vérifiez votre liste de clés API une fois par mois
  • Si inutilisé depuis plus de 30 jours → supprimez
  • Si l'utilité n'est plus connue → supprimez
  • Si les autorisations sont trop importantes → supprimez et recréez

Comment supprimer

  1. « Gestion des API » → trouvez la clé à supprimer
  2. Cliquez sur "Supprimer"
  3. Terminez la vérification d'identité
  4. Confirmez
  5. Désactivé immédiatement, tous les programmes avec cette clé perdent instantanément leur accès.

Suppression en masse

Il n'y a pas de fonction de suppression en masse, vous ne pouvez en supprimer qu'une seule à la fois. Mais vous pouvez d'abord la "Désactiver" et la supprimer plus tard.

Signes de vol d'une clé API

Signe 1 : Ordres anormaux

  • Des ordres que vous n'avez pas passés apparaissent dans l'historique
  • Notamment des ordres d'achat de petites cryptomonnaies (une méthode courante de blanchiment d'argent)
  • Petites transactions à haute fréquence (caractéristique des API)

Signe 2 : Transferts de fonds anormaux

  • D'importants transferts soudains entre le compte Spot et Futures
  • Transferts anormaux entre les sous-comptes

Signe 3 : IP anormales dans les logs API

  • "Gestion des API" → regardez les IP d'appel récentes
  • Si vous trouvez des IP inconnues → Vol détecté

Signe 4 : Les permissions API ont été modifiées

  • Vous n'aviez coché que "Lecture", et vous constatez que c'est devenu "Lecture + Trading"
  • Quelqu'un a modifié votre clé

Dès l'apparition de l'un de ces signes → supprimez immédiatement toutes les clés API et vérifiez votre compte.

Causes fréquentes de fuite de clé API

Cause 1 : Code téléchargé sur GitHub

Codée en dur dans le code source, puis commit et envoyé sur GitHub. Les robots de GitHub le trouveront en quelques minutes, et quelques secondes plus tard votre compte sera vidé.

Prévention : Utilisez toujours des variables d'environnement ou des fichiers de configuration (ajoutés au .gitignore), ne codez jamais en dur.

Cause 2 : Fichier de configuration piraté

Le VPS a été piraté et le config.json a été lu.

Prévention : Appliquez des correctifs sur le serveur, désactivez la connexion par mot de passe, utilisez des clés SSH, activez le pare-feu.

Cause 3 : Service tiers piraté

Vous avez donné votre clé API à un "service de signaux" ou à un "bot de copy trading", et ils ont été piratés.

Prévention : Ne la donnez qu'aux fournisseurs de services de confiance + activez la liste blanche IP + ne cochez que l'autorisation de trading.

Cause 4 : Votre ordinateur local a un cheval de Troie

Votre PC Windows ou Mac contient un logiciel malveillant, et la clé API est volée.

Prévention : Installez un logiciel antivirus + ne téléchargez pas de logiciels piratés + placez les programmes importants dans des environnements isolés.

Questions fréquentes

Q : Quelle est la fuite la plus grave, la clé API ou le mot de passe du compte ?

R : Cela dépend des permissions. Si la clé API a l'autorisation de retirer → c'est aussi grave qu'une fuite de mot de passe. Si seule l'autorisation de lecture est activée → le danger est très faible. Cela illustre une fois de plus l'importance du principe du moindre privilège.

Q : Combien de clés API peuvent être créées par compte ?

R : Binance autorise jusqu'à 30 clés API simultanément par compte. Après suppression, elles peuvent être recréées. En général, 1 à 3 clés suffisent pour un utilisateur individuel.

Q : La clé API a-t-elle une date d'expiration ?

R : La plupart des clés n'ont pas d'expiration obligatoire. Cependant, si elle n'est pas utilisée pendant 90 jours, Binance la désactivera automatiquement. Il faudra retourner dans la gestion des API pour la réactiver manuellement.

Q : Peut-on définir des permissions de clé API pour les sous-comptes ?

R : Oui. Les sous-comptes disposent de clés API indépendantes, avec des permissions et des actifs isolés du compte principal. Il est fortement recommandé de placer le trading quantitatif dans des sous-comptes, même en cas de vol, cela n'affectera pas les actifs du compte principal.

Etape suivante Acceder au site officiel Binance Telecharger l'APP Binance