Permissions : trading oui, retraits jamais
Les clés API d'exchange portent des permissions granulaires, et les seules dont le trading automatisé a besoin sont : lire les données du compte, placer et annuler des ordres. La permission de retrait n'est jamais requise — un service qui la demande est soit construit avec négligence, soit construit avec malveillance, et dans les deux cas la bonne réponse est de partir.
Une clé trading-uniquement borne votre pire scénario : même si elle fuitait publiquement, un attaquant ne pourrait pas sortir de fonds de l'exchange. L'abus restant (trading manipulateur contre votre compte) est réel mais bien plus limité, et la section suivante en ferme l'essentiel aussi.
Autorisations de la clé API
À configurer sur l'exchange avant de connecter
-
Lecture des données de marchéActivé
-
Passer des ordres / TradingActivé
-
Retrait de fondsNe jamais activerDésactivé
Liste blanche d'IP : le verrou le plus fort que la plupart ignorent
Tout exchange majeur vous permet de lier une clé API à des adresses IP spécifiques : les requêtes provenant d'ailleurs sont rejetées avant même que la signature ne soit vérifiée. Une clé sur liste blanche qui fuite est quasi inutile — l'attaquant devrait aussi contrôler le serveur exact derrière votre IP.
Le hic : la liste blanche exige une adresse STABLE, que les services à infrastructure partagée ne peuvent honnêtement pas offrir. Arbitron donne à chaque utilisateur un serveur dédié avec sa propre IP statique précisément pour que la liste blanche fonctionne — vos clés sont épinglées à une seule machine qui n'exécute que votre trading. Quel que soit le service que vous utilisez, demandez de quelle adresse partent ses requêtes et si elle est uniquement la vôtre.
Stockage : les questions auxquelles tout service doit répondre
La compromission en 2022 d'une grande plateforme de bots a fait fuiter ~100 000 clés API et siphonné environ 20 M$ des comptes utilisateurs — ce mode de défaillance n'est pas hypothétique. Avant de connecter des clés où que ce soit, obtenez les réponses à trois questions : comment les clés sont-elles chiffrées au repos, existe-t-il une clé maîtresse unique qui déchiffre tous les utilisateurs d'un coup, et les clés apparaissent-elles jamais en clair dans les logs ou les sauvegardes.
Les réponses d'Arbitron, vérifiables sur notre page de sécurité : chiffrement AES-256-GCM, une clé de chiffrement de données individuelle par utilisateur enveloppée par AWS KMS (aucun mot de passe maître qui ouvre tout le monde), déchiffrement uniquement au moment de l'usage, et jamais dans les logs ou l'analytique. Tout service sérieux devrait publier des équivalents.
Hygiène des clés : des habitudes peu coûteuses qui ferment le reste
Créez une clé SÉPARÉE pour chaque service — ne réutilisez jamais une même clé entre outils, sinon une compromission de l'un d'eux les brûle tous. Étiquetez les clés par service sur l'exchange pour que la révocation se fasse en un clic, et supprimez les clés des services que vous avez cessé d'utiliser le jour même où vous arrêtez.
Enfin, protégez le compte propriétaire des clés : l'authentification à deux facteurs sur l'exchange ET sur le service de trading, car une prise de contrôle de l'un contourne tous les autres contrôles. Cinq minutes de configuration couvrent les voies d'attaque qui se produisent réellement en pratique.