Quand vous utilisez un bot de trading en ligne, voici ce qui se passe en coulisses : vous confiez vos clés API d'exchange à un serveur tiers. Ces clés donnent accès à votre compte. Elles permettent de passer des ordres, de consulter vos soldes, parfois même de retirer des fonds. Et elles sont stockées quelque part, sur une infrastructure que vous ne contrôlez pas, que vous ne pouvez pas auditer, et dont la sécurité dépend entièrement d'une équipe que vous ne connaissez pas.
La plupart du temps, ça fonctionne. Jusqu'au jour où ça ne fonctionne plus.
Ce qui se passe quand un tiers stocke vos clés
En décembre 2022, la plateforme de bots de trading 3Commas a confirmé la fuite de 100 000 clés API de ses utilisateurs sur les exchanges Binance et KuCoin. Des millions de dollars ont été dérobés via des trades frauduleux passés avec les clés volées. Le cofondateur avait d'abord nié toute fuite avant de reconnaître les faits. Le FBI a ouvert une enquête.
En novembre 2023, la firme de trading Kronos Research a perdu 26 millions de dollars en ETH suite à un accès non autorisé à ses clés API.
Ce ne sont pas des cas isolés. C'est un risque structurel. Dès que vos clés API transitent par un serveur tiers, elles deviennent une cible. Et la technique d'exploitation est redoutable : les attaquants n'ont même pas besoin de retirer vos fonds directement. Avec vos clés, ils passent des ordres de vente à perte contre leurs propres bots, vidant votre compte par des trades défavorables.
L'auto-hébergement : le concept en 30 secondes
L'auto-hébergement, c'est simple : le logiciel tourne chez vous. Sur votre ordinateur ou sur un VPS (un serveur privé) pour faire tourner vos bots.
Pensez à la différence entre stocker vos photos sur Google Photos et les garder sur un disque dur chez vous. Dans un cas, vous faites confiance à un tiers. Dans l'autre, vous gardez le contrôle. L'auto-hébergement d'un bot de trading, c'est exactement le même principe appliqué à quelque chose de bien plus sensible : l'accès à vos comptes de trading.
Ce que ça change concrètement
Vos clés API ne quittent jamais votre machine
C'est le point fondamental. Elles sont stockées localement, sur votre propre infrastructure. Personne d'autre n'y a accès. Pas de serveur tiers, pas de base de données centralisée qui peut fuiter.
Un scénario type 3Commas est structurellement impossible
Quand une plateforme SaaS se fait compromettre, ce sont potentiellement toutes les clés de tous les utilisateurs qui sont exposées. Avec un bot auto-hébergé, il n'y a tout simplement pas de base de données centralisée de clés à voler. Chaque utilisateur est une île. Pour accéder à vos clés, il faudrait compromettre votre machine spécifiquement.
Vos données de trading restent privées
Vos stratégies, vos performances, votre historique de trades : tout reste en local. Aucune donnée n'est envoyée à un service externe.
Pas de point de défaillance unique
Si une plateforme SaaS tombe (maintenance, panne, faillite), tous ses utilisateurs sont à l'arrêt en même temps. Votre instance auto-hébergée ne dépend que de vous.
Le code est vérifiable
Quand le bot est open source, vous pouvez (ou la communauté peut) inspecter exactement ce que le logiciel fait avec vos clés. Pas de boîte noire.
Auto-hébergement et responsabilité
Soyons transparents : l'auto-hébergement donne du pouvoir, et ce pouvoir vient avec une responsabilité.
Quand vous hébergez votre propre bot, la sécurité de votre instance fait partie de votre périmètre. Un VPS mal configuré, des accès mal protégés, et vous réintroduisez les risques que vous cherchiez à éviter.
C'est un sujet qui nous anime profondément chez Kryll. La cybersécurité n'est pas un détail qu'on traite en fin de projet. C'est un pilier central du développement de KryllOS, et nous y travaillons avec le plus grand sérieux. Nous préparons d'ailleurs un article dédié à la sécurité de KryllOS pour ceux qui souhaitent comprendre en profondeur comment nous abordons ces enjeux.
Comment KryllOS est pensé pour l'auto-hébergement
KryllOS n'est pas un SaaS qu'on a reconverti en logiciel téléchargeable. Il a été conçu dès le départ pour tourner chez vous.
Vos clés API sont stockées localement sur votre machine et ne sont jamais transmises à un tiers. Le code est open source et auditable par n'importe qui. KryllOS ne détient pas vos fonds, n'a pas accès à vos clés, et ne prélève aucun frais sur vos trades. C'est un logiciel que vous possédez et que vous contrôlez, pas un service dont vous dépendez.
L'installation sera accessible à tous les profils : un installeur guidé pour les débutants, et une installation en ligne de commande pour ceux qui préfèrent le terminal. PC personnel pour expérimenter, VPS pour le trading en continu.
KryllOS se construit pour ceux qui refusent de confier leurs clés à n'importe qui. Si vous faites partie de ces traders. Rejoignez la waitlist pour être averti en premier et accéder à la version publique dès son lancement. → Rejoindre la waitlist KryllOS
