La création d'une clé API (API Key) Binance se fait en 6 étapes : connectez-vous au site officiel de Binance (la fonction API n'est disponible que sur la version Web, l'application ne permet pas la création), allez dans « Compte - Gestion API », cliquez sur « Créer une API », sélectionnez « Généré par le système », saisissez un nom d'étiquette personnalisé et passez la triple vérification par e-mail + 2FA + SMS. Le système affichera alors l'API Key et la Secret Key (clé secrète) une seule fois ; copiez-les et sauvegardez-les immédiatement (la Secret Key ne sera affichée qu'une seule fois !). Enfin, configurez les autorisations (Trading Spot/Trading Futures/Retraits/Lecture, etc.) et la liste blanche d'adresses IP. Recommandation très importante : toute clé API créée doit être associée à une liste blanche d'IP. Une clé API sans liste blanche d'IP revient à offrir directement vos actifs en cas de fuite. Selon les statistiques de Binance pour 2024, 93 % des pertes de fonds dues à des clés API volées concernaient des clés non associées à une liste blanche d'IP. Une fois la liste blanche d'IP configurée, même si la Secret Key est compromise, les attaquants ne pourront pas appeler l'API depuis leurs propres serveurs. Bien que l'application officielle Binance ne permette pas de créer de clés API, elle permet d'afficher et de supprimer les clés existantes, ce qui est pratique en cas d'urgence. Si vous n'avez pas encore installé l'application, veuillez consulter le tutoriel d'installation iOS. Cet article couvre l'ensemble du cycle de vie : création, configuration des autorisations, liste blanche, utilisation, surveillance et réponse aux urgences en cas de fuite.
Qu'est-ce qu'une API Key ? Que permet-elle de faire ?
Une API Key (Clé d'interface de programmation d'application) est un identifiant qui permet à des programmes externes de gérer votre compte Binance en votre nom. Avec une clé API, les programmes peuvent lire les données de votre compte, passer des ordres et consulter l'historique 24h/24 et 7j/7 sans avoir à saisir de mot de passe à chaque connexion.
Il existe cinq cas d'utilisation typiques : le Trading quantitatif (comme exécuter des stratégies Python pour acheter et vendre automatiquement), le Copy trading (laisser un programme copier les positions d'un influenceur), l'Acquisition de données de marché (récupération en masse de données historiques de bougies (K-lines) pour le backtesting), l'Inventaire des actifs (calcul automatique des actifs totaux sur plusieurs comptes), et la Comptabilité (intégration avec les systèmes financiers des entreprises).
Une clé API se compose de deux parties : l'API Key (clé publique) utilisée pour identifier l'utilisateur, qui peut être affichée publiquement ; et la Secret Key (clé privée) utilisée pour signer les requêtes, qui doit rester strictement confidentielle. Pour faire une analogie avec une carte bancaire, l'API Key équivaut au numéro de carte et la Secret Key au code PIN : montrer le numéro de carte n'est pas grave, mais divulguer le code PIN est catastrophique.
Étapes détaillées pour créer une API Key
Étape 1 : Accédez à la page de gestion des API. Connectez-vous au site officiel de Binance (le navigateur mobile fonctionne également, mais la création n'est pas prise en charge dans l'application), cliquez sur votre profil en haut à droite et sélectionnez « Gestion API » (API Management). Le haut de la page affiche toutes les clés API que vous avez créées, et un bouton « Créer une API » se trouve en bas.
Étape 2 : Choisissez la méthode de création. Binance propose deux méthodes : « Généré par le système » (System-generated) convient à la majorité des utilisateurs, où les clés sont générées aléatoirement par Binance ; « Généré par soi-même » (Self-generated) est destiné aux utilisateurs avancés possédant des paires de clés RSA/Ed25519, qui génèrent eux-mêmes les clés publique et privée et téléchargent la clé publique sur Binance pour une sécurité accrue (Binance ne connaît jamais votre clé privée).
Il est recommandé aux utilisateurs ordinaires de choisir « Généré par le système », ce qui est suffisamment sûr. Pour les utilisateurs professionnels et les équipes quantitatives, il est recommandé d'utiliser des paires de clés Ed25519 « Générées par soi-même ». Binance recommande cette méthode depuis mai 2024, car les performances de signature sont plus de 10 fois supérieures à celles du HMAC-SHA256.
Étape 3 : Nommez la clé API. Saisissez un nom d'étiquette significatif, tel que « Stratégie Spot Grid », « Market Making Futures » ou « Suivi de solde ». L'étiquette n'est visible que par vous et sert à distinguer les différents usages ultérieurement. Il est recommandé d'utiliser une clé par stratégie, plutôt que de partager une même clé pour plusieurs usages.
Étape 4 : Vérification d'identité. Saisissez le code de vérification à 6 chiffres reçu par e-mail, le code à 6 chiffres reçu par SMS et le code dynamique à 6 chiffres de Google Authenticator. Vous devez passer les trois vérifications pour passer à l'étape suivante.
Étape 5 : Sauvegardez la Secret Key. Après avoir passé la vérification, la page affichera l'API Key et la Secret Key. La Secret Key n'est affichée que cette seule fois ; une fois la page fermée, elle ne pourra plus jamais être consultée. Assurez-vous de la copier et de la coller immédiatement dans un endroit sûr. Recommandations :
- Le champ « Notes sécurisées » d'un gestionnaire de mots de passe (1Password, Bitwarden).
- Un fichier local chiffré (crypté avec GPG et enregistré sur une clé USB).
- Le plus sûr : écrit sur papier et enfermé dans un coffre-fort (convient aux comptes à forte valeur).
Ce qui n'est jamais recommandé : Les favoris WeChat, les brouillons d'e-mails, les simples fichiers texte ou le stockage cloud non chiffré — ceux-ci sont facilement compromis.
Étape 6 : Configuration des autorisations et de l'IP (détails ci-dessous).
Système d'autorisation à quatre niveaux
Les autorisations de l'API Binance sont divisées en quatre niveaux, du plus bas au plus élevé, basés sur le principe du « moindre privilège » : n'activez que les autorisations nécessaires à votre stratégie.
Niveau 1 : Lecture seule (Read Only). Permet de consulter le solde du compte, l'historique des ordres et les positions actuelles, mais ne permet pas de passer des ordres, de retirer des fonds ou de modifier des paramètres. C'est le niveau le plus sûr, adapté au suivi des actifs, au rapprochement financier et aux déclarations fiscales.
Niveau 2 : Trading Spot et sur marge (Spot & Margin Trading). Basé sur le niveau 1, il ajoute la fonction de passage d'ordres, permettant l'achat et la vente sur les marchés Spot et sur marge. Ne permet pas d'opérer sur les Futures ni de retirer des fonds. Adapté aux stratégies quantitatives Spot.
Niveau 3 : Trading Futures. Interrupteur indépendant permettant d'activer les autorisations de trading pour les Futures USDS-M, les Futures COIN-M et les Options. Les contrats à terme impliquent un effet de levier et un risque élevé ; il est recommandé de n'activer cette autorisation que pour des stratégies ayant fait l'objet d'un backtesting rigoureux.
Niveau 4 : Activer les retraits (Enable Withdrawals). Le niveau de risque le plus élevé. Une fois activé, les programmes peuvent retirer des actifs de votre compte ! 99 % des utilisateurs n'auront jamais besoin d'activer cette autorisation. Les retraits doivent toujours être effectués manuellement. Seuls quelques scénarios très spécifiques, tels que l'arbitrage entre différentes bourses ou la consolidation automatique des fonds, le nécessitent, et la liste blanche des adresses de retrait doit être strictement limitée.
Plus l'autorisation est élevée, plus la surface d'attaque est grande. Principe suggéré : activez la lecture, le Spot et les Futures selon vos besoins, mais n'activez jamais les retraits. Si un jour vous trouvez que votre stratégie « a besoin de l'autorisation de retrait », réfléchissez d'abord si vous pouvez utiliser des transferts internes (comme des Futures USDS-M vers le Spot) au lieu de retraits ; c'est possible dans la plupart des cas.
La liste blanche d'IP est votre ligne de vie
C'est la partie la plus importante de cet article. Une fuite de clé API sans liste blanche d'IP équivaut à un compte volé.
Le principe de la liste blanche d'IP : vous ajoutez l'adresse IP du serveur exécutant la stratégie (par exemple, l'IP publique d'un serveur AWS ou Alibaba Cloud : 47.98.xx.xx) à la liste blanche. Le serveur API de Binance n'acceptera que les requêtes provenant de ces IP ; les requêtes provenant d'autres IP seront rejetées, même si la signature avec votre Secret Key est correcte.
Options de configuration IP lors de la création :
- Restreindre l'accès aux adresses IP de confiance uniquement (Recommandé) : Saisissez de 1 à 20 adresses IP, une par ligne. Le format IPv4 de type "47.98.123.45" est requis ; les blocs CIDR (comme 192.168.1.0/24) ne sont pas pris en charge.
- Aucune restriction (Fortement déconseillé) : N'importe quelle IP peut utiliser cette clé. Depuis 2024, Binance a limité la validité des clés « Sans restriction IP » à 90 jours. Elles deviennent automatiquement invalides à expiration et nécessitent une recréation, forçant ainsi les utilisateurs à utiliser les listes blanches d'IP.
Comment vérifier l'IP de votre serveur : Après vous être connecté au serveur via SSH, exécutez la commande curl ifconfig.me ou curl ip.sb ; le résultat est l'IP publique. Les utilisateurs de haut débit à domicile doivent noter que les IP domestiques sont généralement dynamiques et peuvent changer à chaque redémarrage de la box, ce qui n'est pas adapté aux listes blanches d'API. Il est recommandé d'utiliser un VPS (IP statique) ou des services cloud.
Déploiement multi-régions : Si votre stratégie s'exécute sur plusieurs serveurs (principal/secours ou multi-régions), ajoutez toutes les IP à la liste blanche. Binance autorise un maximum de 20 IP.
Débogage temporaire : Pendant la phase de développement, si vous souhaitez déboguer une stratégie sur votre ordinateur local, vous pouvez temporairement ajouter l'IP publique de votre domicile à la liste blanche. Une fois le débogage terminé, supprimez-la immédiatement pour ne conserver que l'IP du serveur.
Pratiques de sécurité dans l'utilisation des API
Pratique 1 : Ne codez jamais la Secret Key en dur dans votre code. Ne l'écrivez pas directement dans les fichiers .py ou .js pour éviter de la publier sur un dépôt Git (en particulier s'il est public). La bonne approche consiste à utiliser des variables d'environnement (export BINANCE_SECRET=xxx) ou des fichiers de configuration (.env, ajouté au .gitignore).
Pratique 2 : Utilisez des sous-comptes indépendants pour isoler les risques. Binance permet la création de jusqu'à 200 sous-comptes gratuitement. Il est recommandé d'exécuter chaque stratégie sur un sous-compte indépendant, en ne conservant sur le compte principal qu'une petite somme pour les transferts. Même si la clé API d'un sous-compte est volée, la perte est limitée au solde de ce sous-compte.
Pratique 3 : Séparez les autorisations. Utilisez une clé en Lecture seule (Read Only) pour lire les soldes et une clé de Trading Spot pour trader. La clé de lecture utilisée pour l'affichage de l'interface ou les rapports peut être sans restriction d'IP, tandis que la clé de trading doit être strictement liée à une IP et avoir des autorisations spécifiques.
Pratique 4 : Rotation régulière. Recréez la clé API tous les 90 jours et supprimez l'ancienne. Même si l'ancienne clé était surveillée à long terme, elle deviendra invalide après 90 jours. La page de gestion des API de Binance affiche l'heure de création de chaque clé pour un suivi facile.
Pratique 5 : Surveillez les appels anormaux. Binance fournit des statistiques d'appels pour les clés API. Sur la page « Gestion API », cliquez sur « Voir les détails » à droite de la clé pour voir le nombre d'appels par minute, la consommation maximale de poids (weight) et le nombre de limites de fréquence (rate limit) déclenchées. Si le volume d'appels d'une clé double soudainement, quelqu'un pourrait en abuser.
Que faire si la clé API a fuité ?
Étape 1 : Supprimez immédiatement la clé API sur l'application ou le site Web. Allez sur la page de gestion des API, cliquez sur le bouton « Supprimer » à droite de la clé compromise, et après confirmation, la clé deviendra immédiatement invalide. La suppression est irréversible, n'hésitez pas.
Étape 2 : Vérifiez l'historique des opérations du compte. Consultez les transactions, retraits et dépôts des dernières 24 heures pour identifier toute activité anormale. Si l'attaquant a utilisé la clé pour passer des ordres d'achat sur des « shitcoins » inconnus (une attaque typique de pump-and-dump), contactez immédiatement le service client pour geler le compte.
Étape 3 : Réinitialisez les autres paramètres de sécurité. Modifiez votre mot de passe de connexion, réinitialisez le 2FA et vérifiez si vos autres clés API sont en sécurité. Les attaquants pourraient avoir acquis simultanément d'autres identifiants de votre compte.
Étape 4 : Enquêtez sur la source de la fuite. Les causes courantes de fuite incluent : du code poussé vers des dépôts Git publics (recherchez votre propre Secret Key à l'aide d'outils comme github.com/searchcode), une intrusion sur le serveur (vérifiez auth.log), une capture d'écran accidentelle, la transmission des clés au « service client » (arnaques) ou l'utilisation de frameworks quantitatifs open source malveillants. Ce n'est qu'en trouvant la cause fondamentale que vous éviterez de futures fuites.
Étape 5 : Soumettez un ticket. Même s'il n'y a pas de perte financière, il est recommandé de soumettre un ticket au service client de Binance pour expliquer la situation et demander l'activation de la « Période de réflexion pour fuite d'API » (API Leak Cooling-Off Period) : le compte entre alors dans un état d'examen renforcé des retraits pendant 7 jours, où tout retrait nécessitera un examen manuel.
Codes d'erreur courants et traitement
| Code d'erreur | Signification | Méthode de traitement |
|---|---|---|
| -1021 | L'horodatage (timestamp) est en dehors de la fenêtre de temps du serveur | Calibrez l'heure du serveur via NTP |
| -1022 | Signature invalide | Vérifiez la Secret Key et l'ordre de concaténation des paramètres |
| -2010 | Échec de l'ordre : Solde insuffisant | Vérifiez le solde disponible et les actifs gelés |
| -2014 | Format de la clé API invalide | Vérifiez si la chaîne de la clé est complète |
| -2015 | Clé API, IP ou autorisations non valides | Concentrez-vous sur la vérification de la liste blanche d'IP |
| -1003 | Trop de requêtes (Rate limit) | Réduisez la fréquence des appels, surveillez le poids (weight) |
| -4131 | Autorisation de l'API Futures non activée | Activez l'autorisation Futures sur la page de gestion des API |
La raison la plus fréquente pour rencontrer l'erreur -2015 est une liste blanche d'IP mal configurée, ou le fait que l'IP de votre serveur a changé. Utilisez curl ifconfig.me pour confirmer à nouveau l'IP actuelle et comparez-la avec votre liste blanche.
Foire aux questions (FAQ)
Q : Combien de clés API peuvent être créées ? R : Actuellement, un compte unique est limité à un maximum de 30 clés API. Cela suffit pour la plupart des utilisateurs.
Q : Que faire si je perds ma Secret Key ? R : Vous ne pouvez que créer une nouvelle clé API ; l'ancienne combinaison API Key + Secret Key ne pourra jamais être récupérée. C'est pourquoi vous devez enregistrer la Secret Key immédiatement lors de sa création.
Q : Y a-t-il des frais d'utilisation pour les clés API ? R : C'est gratuit. Les frais de trading sont les mêmes que pour le trading manuel ; il n'y a aucun frais supplémentaire pour l'utilisation de l'API.
Q : Les clés API expirent-elles ? R : Elles sont valables en permanence (les clés sans liste blanche d'IP sont limitées à 90 jours depuis 2024). Cependant, il est recommandé de les renouveler activement tous les 90 jours pour améliorer la sécurité.
Q : Puis-je envoyer ma clé API au service client pour les aider à résoudre des problèmes ? R : Absolument pas ! Le véritable service client ne vous demandera jamais de fournir votre Secret Key. Quiconque vous demande votre Secret Key est un arnaqueur.