Comment configurer la liste blanche IP pour l'accès à l'API Bybit ?

Présentation de la configuration de la liste blanche IP de l'API Bybit

1. Bybit nécessite une autorisation stricte au niveau du réseau pour toutes les clés API utilisées dans les environnements de production. Chaque clé API doit être associée à un ensemble défini d'adresses IPv4 pour restreindre les points d'origine des requêtes.

2. La liste blanche IP est appliquée au niveau de la couche passerelle de l'échange avant toute vérification d'authentification ou d'autorisation. Les requêtes provenant d’adresses IP ne figurant pas sur la liste blanche reçoivent immédiatement des réponses HTTP 403 Forbidden.

3. Bybit ne prend pas en charge la liste blanche IPv6 ; seules les adresses IPv4 ou la notation CIDR (par exemple, 203.0.113.42/32 ou 192.0.2.0/24) sont acceptées lors de la configuration.

4. Une seule clé API peut contenir jusqu'à 20 entrées IPv4 distinctes, y compris des adresses individuelles et des plages de sous-réseaux, mais les blocs CIDR qui se chevauchent sont rejetés lors de la soumission.

5. Les modifications apportées à la liste blanche IP prennent effet dans les 30 secondes sans nécessiter de régénération de clé ni de redémarrage du service.

Configuration étape par étape de la liste blanche via l'interface Web Bybit

1. Connectez-vous à votre compte Bybit en utilisant le domaine officiel www.bybit.com , vérifiez le certificat SSL délivré à Bybit Limited et assurez-vous que l'authentification à deux facteurs est active.

2. Accédez à Paramètres du compte → Sécurité → Gestion des API et localisez l'entrée de clé API cible.

3. Cliquez sur l'icône en forme de crayon à côté de la clé pour ouvrir le mode d'édition, puis développez la section « Liste blanche IP ».

4. Saisissez une ou plusieurs adresses IPv4 ou blocs CIDR séparés par des sauts de ligne (aucune virgule ni point-virgule n'est autorisé).

5. Confirmez les modifications à l'aide de la vérification par e-mail et du code Google Authenticator ; un échec à l’une ou l’autre étape annule l’intégralité de la mise à jour.

Validation de la liste blanche et dépannage

1. Après l'enregistrement, lancez un appel test vers /v5/account/info en utilisant curl ou Postman avec les en-têtes et la signature corrects.

2. Si la réponse contient retCode: 10004 , cela indique que l'adresse IP d'origine ne figure pas sur la liste approuvée, même si les informations d'identification sont valides.

3. Utilisez ip138.com ou curl ifconfig.me pour confirmer l'adresse IP publique de la machine hébergeant votre robot ou script de trading.

4. Lors du déploiement sur une infrastructure cloud, récupérez l'adresse IP Elastic ou la passerelle NAT (et non l'adresse VPC privée), car seules les adresses IP publiques sont évaluées.

5. Évitez d'utiliser des adresses IP résidentielles dynamiques à moins qu'elles ne soient associées à un service DDNS fiable qui met automatiquement à jour la liste blanche via l'API de Bybit.

Implications sur la sécurité des listes blanches mal configurées

1. Laisser la liste blanche vide désactive tous les accès, quelle que soit la validité de la clé, bloquant ainsi le trafic légitime.

2. La saisie de 0.0.0.0/0 ou de masques larges similaires viole la politique de sécurité de Bybit et entraîne la désactivation immédiate de la clé par les systèmes automatisés.

3. La réutilisation de la même clé API sur plusieurs serveurs sans mettre à jour la liste blanche expose les informations d'identification à un mouvement latéral si un hôte est compromis.

4. L'échec de la rotation des adresses IP après la migration de l'infrastructure entraîne des erreurs 403 persistantes, même lorsque les informations d'identification restent intactes et les autorisations inchangées.

5. Le stockage des adresses IP sur liste blanche dans des fichiers de configuration à version contrôlée sans cryptage augmente le risque d'exposition accidentelle lors d'audits de code ou de fuites de référentiel.

Foire aux questions

Q1 : Puis-je utiliser localhost ou 127.0.0.1 dans la liste blanche IP de Bybit ? Bybit rejette entièrement les adresses de bouclage. Le développement local doit passer par une adresse IP routable publiquement ou utiliser l'environnement testnet de Bybit où la liste blanche est désactivée.

Q2 : Bybit autorise-t-il les domaines génériques ou la liste blanche basée sur le nom d'hôte ? Non. Seules les adresses IPv4 numériques et les blocs CIDR sont acceptés. La résolution DNS n'est pas effectuée lors de la validation.

Q3 : Que se passe-t-il si l'adresse IP publique de mon serveur change alors que la liste blanche reste statique ? Toutes les requêtes API provenant de la nouvelle adresse IP échoueront avec le code d'erreur 10004 jusqu'à ce que la liste blanche soit mise à jour manuellement avec l'adresse actuelle.

Q4 : Existe-t-il un moyen de mettre à jour par programme la liste blanche des adresses IP à l'aide de l'API REST de Bybit ? Bybit n'expose pas de point de terminaison pour modifier les paramètres de clé API. Les modifications de la liste blanche nécessitent une authentification interactive via l'interface Web ou l'application mobile.