Qu'est-ce qu'une clé API asymétrique sur Binance
Sécurisez vos fonds grâce à la protection avancée des clés API
Binance a annoncé aujourd'hui que son échange allait drastiquement changer les règles de sécurité des API Key (identifiants de programmation d'application) et privilégier le passage aux clés API utilisant un système de chiffrement asymétrique RSA. Kryll vous en dit plus sur les coulisses de cette annonce.
Pour savoir comment lier une clé auto-générée Binance à votre compte Kryll, rendez-vous sur notre tutoriel.
Qu'est ce qu'une clé API Auto-générée ?
Une clé API auto-générée est une clé de programmation d'application qui utilise un système de chiffrement asymétrique RSA permettant de s'assurer de l'identité de son utilisateur auprès d'un service en ligne. A l'instar du protocole HTTPS, ce type de signature met en oeuvre un système de clé privée et de clé publique pour sécuriser les échanges entre 2 parties.
Ce type de clés API est généré à l'aide de la clé publique de la personne ou de l'application qui souhaite accéder à des données ou des fonctionnalités d'un autre système ou service, comme Binance dans notre cas, tout en prouvant son identité.
Comment fonctionne une clé API Auto-générée ?
Pour créer une telle clé, l'utilisateur doit fournir à Binance la clé publique du logiciel qu'il souhaite utiliser lors de la premiere étape de creation de sa clé API.
Une fois le processus terminé, la clé est composée uniquement d'un simple identifiant qui ne pourra être utilisé que par le logiciel détenant la clé privée. En cas de divulgation de la clé API un pirate ne pourra pas s'en servir.
En effet, pour utiliser une telle clé, le logiciel devra signer les requêtes envoyées à Binance en utilisant la clé privée secrète associée à la clé publique fournie lors de la creation de la clé API. Binance n'a aucune connaissance de la clé privée mais utilisera la clé publique fournie lors de la creation de la clé API pour valider la provenance des actions demandées.
En d'autres termes, la clé privée reste secrète et signe les actions, tandis que la clé publique certifie la provenance de ces actions.
Clé publique Kryll:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzq/mQsV4iIRW8JJe2Xu8
SW0Ynpqu0hklJNATH0sMp6Cu523m233udv43c4nHgnJporImlv7DEiZjixfR6N9g
lmAFai8a+0nriyQyWQmGDs1DE8qDa+uONIyprA6ZmE/xso/OcbG18727O8DmoWtm
3hxm3JV+mmG1j11pQ+uZMjNu+X9r9/WqvZMlaA6+WlLhZSMbeimujZ28lb+Ipxje
Bg0Z0dpgGrSekTix/F8rzUQz6lrcQC5KY9c6ZENTwMfEfoJg6DLTUzC/Ur63wAND
sq0VByPdXNJhqXtVTqqbPnNxAIusmsIkmd/XYCxMHqQh/tdSAl1KuuIRUCeF5x4P
SQIDAQAB
-----END PUBLIC KEY-----
Pourquoi un tel changement ?
Il y a environ deux semaine, un groupe de traders a déclaré que 22 millions de dollars de crypto-monnaies avaient été volés via des clés API compromises sur la plateforme de trading 3Commas. Mercredi, 3Commas a admis être à l'origine de cette fuite de clés API. Cette annonce est intervenue après qu'un utilisateur Twitter anonyme ait obtenu environ 100 000 clés API appartenant aux utilisateurs de 3Commas et les a publié en ligne. Initialement, 3Commas a insisté sur le fait qu'il n'y avait aucun problème de sécurité de leur côté et le co-fondateur Yuriy Sorokin a répété à plusieurs reprises sur Twitter que c'était un phishing qui avait causé la divulgation des données des utilisateurs.
Cependant, mercredi, Sorokin a tweeté :
"Nous avons vu le message du pirate et pouvons confirmer que les données des fichiers sont vraies... Nous sommes désolés que cela ait été si loin et continuerons à être transparent dans nos communications concernant la situation".
Binance et Kucoin ont rapidement supprimé les clés compromises, mais cette histoire a continué à avoir d'importantes répercussions sur l'ensemble du secteur du trading automatisé.
L'échange de cryptomonnaies Binance a en effet informé ses partenaires le 5 janvier 2023 que toutes les clés API symétriques (HMAC) créées après le 6 janvier 2023 devraient obligatoirement avoir une liste blanche d'adresses IP, sinon seules les fonctions en lecture seule seraient autorisées.
Face à la levée de bouclier de tous l'écosystème à cette annonce soudaine et au calendrier imposé, Binance a annoncé le 6 janvier que ces changements seraient repoussés de quelques jours le temps de laisser les partenaires s'adapter.
Kryll.io passe aux clés auto-générées RSA avec Binance
En réponse à l'annonce de Binance le 5 janvier concernant les nouvelles politiques pour les clés API, l'équipe de Kryll s'est immédiatement mise en action pour offrir le support pour les clés API asymétriques à ses utilisateurs dès le lendemain, le 6 janvier. Nous avons travaillé rapidement pour mettre en place cette fonctionnalité afin de permettre à nos utilisateurs de continuer à utiliser leurs clés API de manière sécurisée et efficace sur notre plateforme. Nous sommes déterminés à offrir le meilleur service possible à nos utilisateurs et nous nous engageons à rester à jour avec les dernières évolutions technologiques et réglementaires pour assurer la sécurité de leurs actifs.
Bien que cette histoire ai déjà fait couler beaucoup d'encre dans la presse spécialisée et sur les réseaux sociaux, ses répercutions sur le marché ne semblent pas être terminées. Une bonne chose pour la sécurité de l'éco-systeme.
Pour savoir comment lier une clé auto-générée Binance à votre compte Kryll, rendez-vous sur notre tutoriel.
N'hésitez pas à nous rejoindre sur nos groupes Telegram et Discord ainsi que sur nos réseaux sociaux pour partager votre avis et vos retours sur la plateforme Kryll.io
Happy Trading,
Website : https://kryll.io
Twitter : @Kryll.io
Telegram EN : https://t.me/kryll_io
Telegram FR: https://t.me/kryll_fr
Telegram ES: https://t.me/kryll_es
Discord : https://discord.gg/PDcHd8K
Facebook : https://www.facebook.com/kryll.io
Support : support@kryll.io