Quand on cherche « site officiel Binance » sur un moteur de recherche, une dizaine de résultats apparaissent souvent. Le seul vrai officiel est le domaine racine binance.com ; tous les autres avec divers préfixes, suffixes ou orthographes approchantes sont pour l'essentiel des sites de phishing ou des proxys déguisés. Pour télécharger l'APP, accédez depuis le site officiel Binance et récupérez l'App officielle Binance. Pour iPhone, consultez d'abord le tutoriel d'installation iOS. Nous expliquons ci-dessous comment distinguer le vrai du faux.

Pourquoi les résultats de recherche sont-ils si embrouillés

Les espaces publicitaires sont achetés par des sites imitateurs

Les trois premières positions en haut de Baidu, Bing, Yandex sont généralement des publicités aux enchères. En tant que marque leader des cryptomonnaies, Binance voit ses espaces publicitaires massivement enchéris par des sites imitateurs. Les opérateurs de phishing gagnent plusieurs milliers de dollars par jour et sont prêts à dépenser 5 à 15 yuans par clic pour s'emparer de ces positions. L'utilisateur ordinaire a l'habitude de cliquer sur le premier résultat et tombe directement dans le piège.

La recherche Google, en raison de la politique de conformité de Binance, ne diffuse pas de publicités sur les mots-clés de la marque dans de nombreuses régions, ce qui rend au contraire les résultats organiques plus propres.

Prolifération de sites parasites SEO

Il existe aussi une catégorie de « sites tutoriels Binance » ou « sites de téléchargement Binance » réalisés par des tiers, qui ne sont pas en eux-mêmes des sites de phishing mais affichent le logo Binance et laissent croire qu'il s'agit du site officiel. Le bouton de téléchargement de ces sites peut renvoyer vers le vrai site officiel, ou vers leur propre affilié promotionnel. Pas officiellement rattaché mais pas complètement faux non plus, c'est le cas le plus difficile à juger.

Trois étapes pour distinguer le vrai du faux

Étape 1 : regardez l'orthographe du domaine

Copiez le lien du résultat et comparez lettre par lettre avec binance.com :

  • b-i-n-a-n-c-e-.-c-o-m, soit 11 caractères au total
  • Toute lettre déplacée, en trop ou manquante signale un faux
  • Les sous-domaines sont fiables (comme accounts.binance.com, futures.binance.com), mais un changement de suffixe est un faux (par exemple binance.cc, binance.xyz, binance.top ne sont pas le site principal)

Étape 2 : regardez le certificat et le chiffrement

Cliquez sur le cadenas de la barre d'adresse pour consulter le certificat. Le vrai certificat Binance présente les caractéristiques suivantes :

  • Émetteur : DigiCert, Sectigo ou une autre CA de premier rang
  • Organisation titulaire : Binance Holdings Limited ou Binance Capital Management Co. Ltd
  • Durée de validité généralement inférieure à 13 mois (conforme aux nouvelles règles des navigateurs)
  • La liste SAN contient le joker *.binance.com

Les sites de phishing utilisent souvent le certificat gratuit Let's Encrypt, avec une information d'organisation titulaire vide ou remplie de caractères aléatoires.

Étape 3 : regardez les fonctionnalités de la page

Ouvrez la page et testez plusieurs choses :

  1. Cliquez sur « Connexion » et voyez si un choix de double vérification apparaît (Google Authenticator, e-mail, SMS, Passkey)
  2. Cliquez sur « Marchés » et voyez s'il y a les cours en temps réel de plus de 2000 paires de trading
  3. Faites défiler jusqu'en bas pour trouver les accès à Binance Academy et Binance Charity
  4. Utilisez les outils développeur F12, onglet Network, les requêtes normales incluent websocket-api.binance.com et api.binance.com

Si tous ces points passent, c'est essentiellement un vrai site.

Comparaison des faux sites courants

Domaine Nature Risque
binance.com Site principal officiel Aucun
binance.us Entité indépendante aux États-Unis Non connecté au site principal, ce n'est pas un faux mais pas le site principal
binance.info Site sans lien Peut servir de support marketing
binancer.com Phishing Identifiants et mots de passe interceptés
bianance.com Phishing Imitation avec un « a » en trop
binance-app.xxx Site de téléchargement déguisé APK pouvant être injecté avec un cheval de Troie

Si vous avez déjà saisi votre mot de passe sur un faux site

Faites immédiatement trois choses

  1. Ouvrez le vrai site officiel binance.com, connectez-vous depuis un autre navigateur, modifiez le mot de passe de connexion et le mot de passe des fonds
  2. Déliez l'ancien 2FA, reconfigurez un nouveau Google Authenticator
  3. Révoquez et recréez toutes les clés API

La première action d'un site de phishing qui a récupéré un mot de passe est généralement de placer un ordre en quelques minutes pour convertir les spots en altcoins et les retirer, il faut agir vite.

Vérifiez les récents retraits

Dans la page « Sécurité » du centre de compte, consultez les IP de connexion des dernières 24 heures. En cas d'IP anormale, demandez immédiatement le gel du compte. Le service client répond 7j/7, 24h/24.

Comment éviter définitivement de cliquer au mauvais endroit

Au niveau du navigateur

Ajoutez binance.com aux favoris du navigateur et épinglez-le. Les utilisateurs Chrome peuvent installer « l'extension officielle Binance » (cherchez dans le Chrome Web Store par développeur Binance), elle affiche un avertissement lorsque vous entrez sur un site imitateur.

Au niveau du système

Les utilisateurs avancés peuvent pointer les domaines imitateurs courants vers 127.0.0.1 dans le fichier hosts, ce qui équivaut à les blacklister localement. Mais le coût de maintenance est élevé, adapté aux utilisateurs à haut risque.

FAQ

Q1 : Le premier résultat de recherche est-il forcément faux ? Pas forcément, cela dépend s'il s'agit d'un classement organique ou d'une publicité. La probabilité que l'espace publicitaire soit acheté par un site imitateur est élevée ; le premier classement organique a de fortes chances d'être le vrai site officiel.

Q2 : Les étiquettes de certification « achat en confiance » de Baidu ou la certification du site officiel sont-elles fiables ? La certification elle-même a une valeur indicative, mais il y a eu des cas où des informations de certification ont été détournées. Une étiquette de certification ne remplace pas votre propre vérification du nom de domaine et du certificat.

Q3 : Si je clique sur un lien de phishing sans me connecter, est-ce que je suis piégé ? Une simple visite sans connexion présente un risque faible, principalement l'enregistrement de logs d'accès. Mais un site de phishing peut embarquer une faille 0day du navigateur, maintenir le navigateur à jour est une compétence de base.

Q4 : L'APP Binance peut-elle être imitée ? Oui. Plusieurs APP imitées sont déjà apparues sur Google Play et l'App Store. Identifiez le développeur nommé Binance, celle avec plusieurs centaines de milliers d'évaluations.

Q5 : Les résultats pour « connexion Binance » et « site officiel Binance » sont-ils différents ? Oui. Les moteurs de recherche se basent sur les mots-clés et différents mots déclenchent différentes pools de publicités. Les sites de phishing ciblent spécifiquement les mots à forte conversion comme « connexion » ou « téléchargement ».