Pour aller droit au but : si vous n'utilisez plus une clé API Binance, vous devez la supprimer sur la page « Gestion des API » au lieu de la « désactiver ». La suppression est irréversible, tandis qu'une désactivation peut être réactivée par quelqu'un d'autre. Après l'avoir supprimée, profitez-en pour vérifier les appareils connectés à votre compte et les appels d'API récents. Si vous devez vous connecter pour effectuer cette opération, passez par le Site officiel de Binance ; les utilisateurs de l'application Android doivent utiliser l'Application officielle Binance, et les utilisateurs Apple peuvent se référer au Tutoriel d'installation iOS pour le téléchargement.

Lors des piratages de comptes Binance, environ 30 % des cas sont réalisés via une clé API plutôt qu'en se connectant directement avec le mot de passe. Oublier de supprimer une clé API après avoir utilisé un bot, une plateforme de trading quantitatif ou un outil de copy trading équivaut à laisser une "porte dérobée" ouverte en permanence sur votre compte. Cet article explique comment nettoyer cela de fond en comble.

Pourquoi faut-il supprimer l'API et non pas la désactiver ?

Binance propose deux états pour gérer les API :

Action Est-ce réversible ? Niveau de sécurité
Désactiver l'API Réversible Faible
Supprimer l'API Irréversible Élevé

Désactiver n'est qu'une fermeture temporaire, si votre compte est piraté, le hacker peut la réactiver. Supprimer, en revanche, efface définitivement la clé de la base de données, et les hackers n'auront aucun moyen de la "ressusciter".

Le principe de base est donc : désactivez si vous ne l'utilisez pas à court terme, et supprimez si vous ne l'utiliserez plus jamais. Si vous êtes sûr de ne plus l'utiliser, il est inutile de la conserver.

Étapes pour supprimer une API

Étape 1 : Accéder à la page de gestion des API

Après vous être connecté à votre compte Binance :

  • Sur le site web : Profil (Compte) → Gestion des API
  • Sur l'Application : Profil → Paramètres → Gestion des API

La page affichera toutes les clés API que vous avez créées. Pour chaque clé, vous verrez :

  • Le nom (celui que vous lui avez donné lors de la création).
  • La date de création.
  • Les autorisations (Lecture seule / Trading Spot / Trading sur Futures / Retraits).
  • La dernière date d'utilisation.

Étape 2 : Vérifier l'utilisation récente de chaque API

Si une API a une date de dernière utilisation remontant à plus de 30 jours, vous pouvez généralement supposer qu'elle n'est plus utilisée. Cependant, assurez-vous d'abord qu'aucune stratégie à long terme ne tourne dessus :

  • Bot de trading quantitatif : Peut effectuer des appels tous les jours.
  • Outil de copy trading : Effectue des appels en permanence.
  • Logiciel de déclaration fiscale : Peut être utilisé une fois par mois ou par trimestre.

Si vous avez un doute, désactivez-la d'abord pour l'observer pendant une semaine. S'il n'y a aucune erreur métier, supprimez-la.

Étape 3 : Procéder à la suppression

Trouvez la clé à supprimer → Cliquez sur le bouton "Supprimer". Le système demandera une triple vérification :

  • Code de vérification par e-mail.
  • Code dynamique à 6 chiffres de Google Authenticator.
  • Code SMS (si lié).

Une fois les trois codes saisis, la clé est immédiatement supprimée et ne peut pas être récupérée.

Étape 4 : Vérifier que la suppression a réussi

Actualisez la page et vérifiez que la clé a disparu de la liste. Les clés désactivées apparaissent toujours dans la liste (en grisé), tandis que les clés supprimées n'apparaissent plus du tout.

Dans quels cas faut-il supprimer immédiatement une API ?

Que vous l'utilisiez ou non, supprimez-la immédiatement si l'une de ces situations se produit :

Cas 1 : La clé "API Secret" a été accidentellement poussée sur GitHub

Le code publié dans un dépôt public sur GitHub contenant une "API Secret" est scanné automatiquement par des bots. Des pirates écrivent des scripts pour repérer quotidiennement les fuites de clés sur GitHub, et elle sera détectée en quelques minutes. Une fois la clé secrète compromise :

  • Supprimez immédiatement cette clé sur Binance.
  • Ne cochez jamais "Autoriser les retraits" lors de la création d'une nouvelle clé.
  • Configurez une liste blanche d'IP (IP Whitelist).
  • Placez le code contenant la clé secrète dans .gitignore ou utilisez des variables d'environnement.

Cas 2 : Une plateforme de trading que vous avez utilisée disparaît ou est piratée

Si certaines plateformes tierces de trading quantitatif (comme 3Commas, Pionex, etc.) font l'objet d'un incident de sécurité :

  • Si la plateforme est piratée : Les hackers peuvent récupérer les clés API de tous les utilisateurs.
  • Si la plateforme s'enfuit (exit scam) : Ils peuvent réaliser des opérations malveillantes sur votre compte avant de disparaître.

Peu importe la plateforme, dès que vous ne l'utilisez plus, supprimez immédiatement l'API, ne laissez aucun droit d'accès à un ancien fournisseur de services.

Cas 3 : Arrêt d'un service de Copy Trading

Lorsque vous arrivez au terme de votre engagement ou que vous arrêtez activement un service de copy trading, la clé API que le prestataire détient reste valide. Ne pas la supprimer activement équivaut à continuer de lui donner l'accès ; il peut toujours consulter votre solde et votre historique de transactions.

Cas 4 : Découverte d'une clé API inconnue

Si vous accédez à la gestion des API et que vous y trouvez une clé que vous n'avez pas créée vous-même, supprimez-la immédiatement et prenez des mesures d'urgence :

  • Modifiez votre mot de passe.
  • Réinitialisez le 2FA.
  • Déconnectez-vous de tous les appareils.
  • Activez le gel de votre compte.

C'est un signe évident que votre compte a été compromis.

Bonnes pratiques pour sécuriser vos API

Si vous devez continuer à utiliser des API (pour des stratégies de trading quantitatif, par exemple), adoptez ces mesures de protection :

Règle 1 : Ne cochez JAMAIS « Autoriser les retraits »

Lors de la création d'une API sur Binance, il y a 4 options d'autorisation :

Autorisation Objectif Recommandé
Activer la lecture Consulter le solde, l'historique Oui
Trading Spot / Margin Placer/Annuler des ordres Selon les besoins
Activer les retraits Retirer les cryptos du compte JAMAIS
Transferts internes Transférer entre sous-comptes Selon les besoins

Tant que la case "Autoriser les retraits" n'est pas cochée, même si votre API est volée, les hackers ne pourront pas retirer vos cryptos — ils pourront seulement passer des ordres chaotiques, mais l'argent restera sur votre compte Binance. C'est la ligne de défense la plus cruciale.

Règle 2 : Configurer une liste blanche d'IP

Lors de la création de l'API, vous pouvez spécifier quelles adresses IP sont autorisées à l'utiliser. Une fois cette option configurée :

  • Seules les adresses IP de la liste blanche pourront utiliser cette API.
  • Les appels provenant d'autres IP renverront systématiquement une erreur 403.

Cas d'usage :

  • Une stratégie de bot de trading fonctionnant sur un VPS fixe : ajoutez l'IP de ce VPS.
  • Votre propre ordinateur est toujours connecté depuis la même IP : ajoutez cette adresse IP.

À éviter pour :

  • Les appareils mobiles changeant fréquemment de réseau.
  • L'utilisation fréquente de VPN.

Règle 3 : Une API = Une utilité unique

Ne donnez jamais la même clé API à plusieurs outils. Créez une clé distincte pour chaque outil ; si un problème survient, il suffit de supprimer l'une d'elles sans affecter les autres. Donnez-leur des noms clairs :

  • "3Commas-Spot"
  • "PionexBot-Futures"
  • "Déclaration-Fiscale-Lecture"

Règle 4 : Renouvellement périodique

Changez activement vos clés API tous les 6 à 12 mois :

  • Supprimez l'ancienne clé.
  • Créez une nouvelle clé avec le même nom.
  • Mettez à jour la nouvelle clé API et la clé secrète dans votre outil.

Le renouvellement fréquent réduit le risque qu'une clé API compromise par sa longévité soit exploitée.

Vérifications après la suppression d'une API

Après avoir supprimé une API, vous devez encore effectuer quelques vérifications :

  • Consulter l'historique des transactions : Y a-t-il des ordres suspects au cours des 30 derniers jours ?
  • Vérifier les mouvements d'actifs : Le solde correspond-il à vos attentes ?
  • Vérifier les ordres C2C/OTC : Y a-t-il des ordres anormaux sur le marché de gré à gré ?
  • Consulter les journaux de sécurité : Compte → Sécurité → Journal de sécurité, et vérifiez l'historique des appels API.

Si vous constatez la moindre anomalie, gelez immédiatement le compte.

FAQ - Questions Fréquemment Posées

Q : Puis-je supprimer plusieurs API en même temps ?

Non. Binance exige que chaque API soit supprimée individuellement et qu'une vérification 2FA soit effectuée pour chacune. C'est une mesure de sécurité conçue pour éviter les erreurs de manipulation ou la suppression massive de clés valides par des scripts automatisés.

Q : La suppression d'une API affectera-t-elle les actifs de mon compte ?

Pas du tout. Une clé API n'est qu'un droit d'accès, sa suppression ne modifiera aucunement vos actifs, vos ordres ouverts ou votre historique.

Q : Que se passe-t-il pour les ordres en cours si je supprime l'API ?

Les ordres en attente (ordres limit, stop, etc.) ne sont pas affectés par la suppression de l'API. Ils se trouvent déjà sur les serveurs de Binance et continueront d'être exécutés aux conditions fixées. Cependant, l'outil tiers ne pourra plus les annuler ou les modifier via cette API ; vous devrez vous connecter manuellement à votre compte pour le faire.

Q : Peut-on consulter l'historique d'utilisation de l'API ?

Oui. Dans Compte → Sécurité → Journal de sécurité, vous trouverez l'historique complet de tous les appels API, y compris l'IP, l'heure et le type d'opération. Si vous soupçonnez qu'une API a été compromise, commencez par vérifier ici.

Q : Y a-t-il une limite au nombre de clés API ?

Les utilisateurs ordinaires peuvent avoir jusqu'à 30 clés API valides. Les utilisateurs VIP ont une limite plus élevée. La suppression de clés inutilisées libère de l'espace pour de nouveaux outils.

Q : J'ai supprimé une API par erreur, que faire ?

La suppression est permanente et irréversible. Cependant, vous pouvez immédiatement créer une nouvelle clé avec le même nom et reconfigurer les mêmes autorisations et adresses IP sur la liste blanche. Il suffit ensuite de mettre à jour votre nouvel API Key et son API Secret dans l'outil tiers.

Q : Entre l'API Key et l'API Secret, lequel est le plus sensible ?

Les deux sont très sensibles, mais l'API Secret ne doit sous aucun prétexte être divulguée. L'API Key s'apparente à un nom d'utilisateur, et l'API Secret à un mot de passe. L'API Key est transmise lors des requêtes réseau (bien qu'elle soit chiffrée en TLS/SSL), tandis que l'API Secret n'est jamais transmise et n'est utilisée localement que pour signer des requêtes cryptographiques. Si la clé secrète fuite, c'est comme si vous perdiez le contrôle de toute la clé API.

Résumé

Dès que vous n'utilisez plus une clé API Binance, supprimez-la immédiatement ; ne la laissez pas traîner avec l'option « Désactiver ». Avant de la supprimer, assurez-vous qu'aucune tâche de fond à long terme ne tourne dessus, et après l'avoir supprimée, vérifiez s'il n'y a pas d'activité suspecte sur votre compte au cours des 30 derniers jours. Pour les API que vous continuez d'utiliser, ne cochez sous aucun prétexte l'autorisation « Activer les retraits », et combinez cela avec une liste blanche d'IP pour une sécurité maximale. Enfin, renouvelez activement vos clés API tous les 6 à 12 mois pour minimiser les risques de cyberattaques sur le long terme.