Le point principal

  • Les clés API (Application Programming Interface) peuvent être utilisées pour fournir un accès facile aux données utilisateur pour certains programmes.

  • Cependant, les clés API peuvent être compromises si elles ne sont pas gérées correctement. Apprendre à utiliser vos clés API en toute sécurité est essentiel pour éviter que vos actifs ne soient compromis.

  • Binance prend désormais en charge les paires de clés API RSA pour une sécurité accrue. Apprenez à le créer et à l'utiliser.

Les clés API permettent aux utilisateurs d'accéder facilement à leurs données. Des paires de clés RSA aux listes blanches de clés API, découvrez cinq conseils de Binance pour protéger vos clés API.

Les clés d'interface de programmation d'application (API) constituent un moyen efficace de fournir un accès aux données utilisateur à certains programmes pour agir au nom de l'utilisateur. Cependant, les clés API peuvent introduire des vulnérabilités si elles ne sont pas stockées et utilisées correctement. Par exemple, un acteur malveillant qui vole ou hameçonne la clé API de sa victime pourrait potentiellement accéder aux fonds de la victime. Découvrez comment protéger vos actifs grâce à nos cinq conseils de sécurité pour les clés API.

1. Ne partagez pas vos clés avec d'autres

La clé secrète (HMAC) et la clé privée (RSA) de votre clé API sont des données hautement sensibles. Il vous est fortement déconseillé de divulguer ces informations. Avec cette clé, n'importe qui peut lancer des requêtes API en votre nom sans être détecté par nos systèmes de surveillance des risques.

Vous devez également vérifier fréquemment les clés API actives dans votre compte via la page de gestion des API. Si vous pensez que la sécurité d'une clé API a été compromise, n'hésitez pas à la supprimer et à la remplacer par une nouvelle. C'est également une bonne idée de supprimer fréquemment les anciennes clés API et de les remplacer par de nouvelles, comme dans certains systèmes qui nécessitent que les mots de passe soient modifiés tous les 30 à 90 jours, que vous les utilisiez activement ou non.

2. Soyez diligent dans la gestion des accès

Les clés API sont un outil utile pour le trading automatisé, la surveillance des positions et des risques, ainsi que les taxes. Par conséquent, vous pourriez être tenté d'activer toutes les autorisations pour qu'une seule clé API soit utilisée à des fins multiples, telles que le trading d'API et l'interrogation de données. Cependant, cela réduit la sécurité de la clé : si votre clé API est compromise, les pirates peuvent obtenir un accès complet à votre compte et à vos fonds.

Vous êtes plus en sécurité en utilisant une clé API pour une seule application et en activant les autorisations requises à cette fin uniquement. Par exemple, si vous souhaitez surveiller les risques de trading, déclarer les taxes et exécuter des transactions API Spot et Futures, vous devez créer au moins quatre clés, chacune pour l'un des objectifs suivants :

  1. Négoce au comptant

  2. Négociation à terme

  3. Requête de données fiscales

  4. Requête de données de trading (autorisation de lecture seule)

Sur Binance, vous pouvez créer jusqu'à 30 clés API pour chaque sous-compte.

3. Stockez vos données de clé API en toute sécurité

Comme mentionné, si votre clé API tombe entre les mains d'un criminel, vos actifs peuvent être compromis. Tout comme la façon dont vous protégez les clés privées, ne stockez pas les détails de votre API en texte brut. Au lieu de cela, chiffrez ou utilisez un gestionnaire de secrets de confiance. Vous devez également éviter d'utiliser des solutions basées sur le cloud pour stocker vos clés API, car elles peuvent être vulnérables au piratage.

Il est également recommandé de ne pas stocker votre clé API dans le code source ou le référentiel de votre application.

Pensez à stocker les données de votre clé API dans des fichiers ou des variables d'environnement en dehors des systèmes de gestion tiers que vous utilisez pour éviter de partager vos informations personnelles avec eux.

Étant donné que les clés privées RSA prennent en charge la protection par mot de passe, les utilisateurs utilisant des clés RSA doivent ajouter un mot de passe à toutes les clés privées RSA qu'ils possèdent.

4. Utilisez la liste blanche IP

Binance recommande fortement aux utilisateurs d'utiliser la liste blanche IP sur toutes leurs clés API, quels que soient les autorisations ou l'objectif de la clé API. Avec la liste blanche IP, votre clé API n'est accessible qu'à partir d'une adresse IP spécifique. Cela empêche les acteurs malveillants d'utiliser votre clé API si elle est compromise. Par conséquent, vous devez mettre sur liste blanche toutes les adresses IP utilisées pour utiliser votre clé API.

Attention à la fraude

Bien que les clés API ne puissent pas être utilisées pour lancer des demandes d'extraction sans mettre les adresses IP sur liste blanche, vous devez protéger vos clés API. Si des pirates informatiques accèdent à vos clés, ils peuvent utiliser des actifs avec des volumes de transactions relativement faibles pour effectuer des transactions et siphonner lentement les actifs de votre portefeuille. En effectuant des achats d'actifs indésirables sur des comptes de pirates et en les échangeant contre vos actifs de premier ordre (BTC, BNB, etc.), vous finirez par posséder les altcoins que vous n'aviez jamais eu l'intention d'acheter. En d’autres termes, les pirates peuvent utiliser votre clé API pour échanger vos actifs contre leurs actifs sur des marchés relativement peu liquides.

Pour éviter une telle fraude, Binance a mis en place une politique de suppression automatique des clés API en décembre 2022. Si votre clé API n'utilise pas une adresse IP sur liste blanche et est inactive pendant 30 jours, elle sera supprimée. Pour éviter la suppression automatique, vous devez ajouter votre adresse IP à la liste blanche.

5. Utilisez la paire de clés RSA

La paire de clés RSA (Rivest-Shamir-Adleman) est un mécanisme qui utilise une clé publique et une clé privée pour sécuriser la transmission des données.

Avec une paire de clés RSA, la clé privée utilisée pour créer la signature n'a pas besoin d'être partagée. Cela signifie que tant que la clé privée reste secrète et sécurisée, d'autres personnes ne peuvent pas lancer de demandes authentiques en votre nom.

Binance prend désormais en charge les clés API RSA

Binance prend désormais en charge les clés API RSA. Vous pouvez désormais créer une paire de clé publique et de clé privée RSA, enregistrer la clé publique sur Binance et utiliser la clé privée correspondante pour effectuer des requêtes API signées.

Comment créer une bi-clé RSA sur Binance ?

  1. Téléchargez la dernière version du générateur de clés RSA officiel.

  1. Lancez l'application. Vous pouvez créer, copier ou enregistrer des clés. Vous pouvez également personnaliser la taille de vos clés.

  1. Pour enregistrer votre clé RSA via l'application Binance, accédez à [Profil] - [Gestion des API] - [Créer une API] - [Créer une clé API].

  1. Copiez la clé publique du générateur de clé RSA, puis collez-la dans la case pour vous inscrire.

  1. Entrez un nom pour votre clé API, cliquez sur [Suivant], puis complétez 2FA pour terminer l'enregistrement.

Pour plus de détails, veuillez consulter notre guide sur Comment créer une paire de clés RSA pour envoyer des requêtes API sur Binance.

Lectures complémentaires

  • (Annonce) Binance prend désormais en charge les clés API RSA (2022-12-29)

  • (Blog) Comment identifier et éviter les escroqueries des fraudeurs cryptographiques courants

  • (Blog) Faux services de récupération de fonds : comment éviter ce type d'arnaque

  • (Blog) Comment reconnaître et éviter la fraude P2P

  • (Blog) Un fraudeur crée un hologramme IA de moi pour frauder des projets de cryptographie