Le code Anti-Phishing de Binance est une combinaison alphanumérique de 4 à 8 caractères que vous définissez vous-même. Une fois configuré, chaque e-mail authentique qui vous est envoyé par Binance inclura cette chaîne de caractères de manière bien visible, et aucun e-mail de phishing ne pourra la falsifier, car l'attaquant ne sait tout simplement pas ce que vous avez configuré. Connectez-vous au site officiel de Binance, allez sur la page "Sécurité du compte", trouvez "Code Anti-Phishing", cliquez sur "Activer", entrez une chaîne que vous seul connaissez (par exemple, "BTC2026") et validez-la une fois avec votre 2FA (authentification à deux facteurs). L'ensemble du processus de configuration prend moins de 30 secondes. Selon le rapport de sécurité 2024 de Binance, la plateforme intercepte chaque mois plus de 2,8 millions d'e-mails de phishing imitant Binance. Leur tactique principale consiste à inciter les utilisateurs à cliquer sur des liens tels que "Confirmation de connexion à distance", "Appel de gel de compte" ou "Réclamation d'Airdrop" pour les diriger vers de fausses pages de connexion afin de voler leurs mots de passe et codes 2FA. Après avoir configuré le code Anti-Phishing, tout "e-mail Binance" que vous recevez sans ce code peut être immédiatement identifié comme un e-mail de phishing et ignoré. Il est recommandé de vérifier simultanément l'application officielle Binance pour les notifications système afin de croiser les vérifications. S'il s'agit de votre premier téléchargement, veuillez vous référer au tutoriel d'installation iOS pour vous assurer d'obtenir la version officielle. Cet article détaille les principes, les étapes de configuration et 7 conseils pratiques pour identifier les e-mails de phishing à l'aide du code Anti-Phishing.
Comment fonctionne le code Anti-Phishing
L'idée de conception du code Anti-Phishing est très astucieuse : c'est un secret que "vous connaissez, que Binance connaît, et que l'attaquant ignore". Le serveur de Binance enregistre cette chaîne dans la configuration de sécurité de votre compte et l'intègre automatiquement à un emplacement fixe dans le corps de l'e-mail à chaque envoi.
Lorsque des attaquants falsifient un e-mail Binance, bien qu'ils puissent copier le LOGO, la mise en page et le nom de l'expéditeur de l'e-mail, et même falsifier l'adresse de l'expéditeur pour faire croire que l'e-mail provient de "[email protected]", ils ne peuvent pas savoir quel est votre code Anti-Phishing personnel. Un "e-mail Binance" sans ce code est définitivement un faux.
Ce mécanisme a été introduit pour la première fois par Binance en 2018 et a depuis été adopté par les principales bourses telles qu'OKX, Bybit et Gate, devenant ainsi la norme dans l'industrie des cryptomonnaies. Les données officielles de Binance montrent que le taux de réussite du phishing pour les utilisateurs qui ont activé le code Anti-Phishing a chuté de plus de 85 %.
Pourquoi devez-vous configurer un code Anti-Phishing ?
Le danger des e-mails de phishing dépasse de loin l'imagination. En mars 2024, un utilisateur a reçu un e-mail indiquant "Binance vous signale une connexion à distance à votre compte". En cliquant sur le bouton "Ce n'est pas moi", il a été redirigé vers une fausse page de connexion Binance. Après avoir entré le mot de passe de son compte et son 2FA, il a été redirigé vers le vrai site Binance. L'utilisateur a cru à une fausse alerte et n'y a pas prêté attention. L'attaquant s'est alors connecté au vrai compte Binance en temps réel, pendant la période de validité de 30 secondes du 2FA saisi par l'utilisateur, et a retiré les 5,2 BTC du compte.
Le cœur de ce type d'attaque réside dans le "décalage temporel" : la page de phishing transfère le mot de passe et le 2FA que vous saisissez à l'attaquant en temps réel, et ce dernier finalise la connexion et le retrait pendant la période de validité de 30 secondes. Le code Anti-Phishing vous permet de repérer l'arnaque avant de cliquer sur le lien de l'e-mail, coupant ainsi la voie d'attaque à la source.
Les e-mails de Binance couvrent divers scénarios : rappels de connexion, confirmations de retrait, notifications de création d'API, modifications des paramètres de sécurité, campagnes marketing, avertissements d'anomalies de compte, etc. Une fois le code Anti-Phishing configuré, tous ces e-mails comporteront le code, contrairement aux e-mails de phishing. La difficulté d'identification passe de "devoir vérifier attentivement le domaine du lien" à "voir simplement si cette chaîne de caractères est présente".
Comment configurer le code Anti-Phishing ? (Étapes détaillées)
Étape 1 : Connectez-vous et accédez à la page de sécurité. Visitez le site officiel de Binance avec un navigateur, connectez-vous, cliquez sur l'icône de profil en haut à droite, puis sélectionnez "Sécurité" (Account Security). Vous verrez la catégorie "Sécurité du compte" au milieu de la page, qui inclut des options telles que le mot de passe, le 2FA, le code Anti-Phishing, etc.
Étape 2 : Activez le code Anti-Phishing. Recherchez l'élément "Code Anti-Phishing" (Anti-Phishing Code). Le côté droit indique "Non défini" et un bouton "Activer". Cliquez sur "Activer". Le système affichera une boîte de saisie.
Étape 3 : Choisissez une chaîne facile à retenir mais difficile à deviner. Le code Anti-Phishing requiert de 4 à 8 caractères et ne peut contenir que des lettres et des chiffres (les symboles spéciaux ne sont pas pris en charge). Un bon code Anti-Phishing doit remplir trois conditions : être facile à retenir pour vous, difficile à deviner pour les autres, et sans aucun lien avec vos autres mots de passe.
Pratique recommandée : Utilisez l'abréviation d'une phrase que vous seul connaissez associée à des chiffres, comme "MyCat2019", "BTC2Moon", "SafeBN88", etc. Déconseillé : Votre prénom, votre date de naissance, les quatre derniers chiffres de votre numéro de téléphone et toute autre information facile à deviner.
Étape 4 : Vérification 2FA. Après avoir saisi le code Anti-Phishing, le système vous demandera d'entrer le code dynamique à 6 chiffres de Google Authenticator (si vous avez activé le 2FA) ainsi que le code de vérification par SMS. Il prend effet immédiatement après une vérification réussie.
Testez-le tout de suite après l'avoir configuré : Déclenchez une notification par e-mail sur Binance (par exemple, en changeant votre mot de passe de connexion). Le haut du corps de l'e-mail reçu affichera "Code Anti-Phishing : XXXXXX". C'est la chaîne que vous venez de définir.
Comparaison entre les vrais et les faux e-mails Binance
Le tableau ci-dessous répertorie 7 différences clés entre les e-mails Binance authentiques et les e-mails de phishing pour vous aider à développer le réflexe de les identifier instantanément.
| Élément de comparaison | Vrai E-mail Binance | E-mail de Phishing |
|---|---|---|
| Code Anti-Phishing | Le code que vous avez défini est bien visible | Manquant ou incorrect |
| Adresse de l'expéditeur | Domaines officiels comme [email protected] | Domaines forgés similaires, comme binance-support.com |
| Domaine du lien | Pointe uniquement vers binance.com et ses sous-domaines officiels | Pointe vers des domaines tiers ou des liens raccourcis |
| Langue de l'e-mail | Cohérente avec vos paramètres de langue sur Binance | Généralement en anglais ou traduit automatiquement |
| Salutation | Utilise le nom ou le préfixe d'e-mail avec lequel vous vous êtes inscrit | Utilise des termes génériques comme "Cher utilisateur" |
| Urgence | Déclarations informatives, ne forcent pas à une action immédiate | Menace du type "Le compte sera gelé si non traité sous 24h" |
| Pièces jointes | N'inclut jamais de pièces jointes | Inclut souvent des fichiers pdf ou zip (virus) |
Processus de traitement standard pour les e-mails suspects
Étape 1 : Ne cliquez sur aucun lien, ne téléchargez aucune pièce jointe et ne répondez pas. Tous les liens et pièces jointes des e-mails de phishing peuvent être des pièges.
Étape 2 : Vérifiez le code Anti-Phishing. Les vrais e-mails l'ont, les faux ne l'ont pas. Cette règle à elle seule permet de filtrer 95 % des e-mails de phishing.
Étape 3 : Connectez-vous directement à l'application Binance ou saisissez manuellement l'adresse du site Web officiel pour vérifier. Si l'e-mail mentionne "Il y a une connexion à distance" ou "Quelqu'un effectue un retrait", le simple fait de vérifier l'"Historique des connexions" et l'"Historique des retraits" directement dans l'application peut confirmer l'authenticité de l'alerte sans avoir à cliquer sur le lien de l'e-mail.
Étape 4 : Signalez l'e-mail de phishing. Transférez l'e-mail en pièce jointe à [email protected]. Binance vous aidera à faire fermer le domaine de phishing. En 2024, Binance a fait supprimer plus de 12 000 domaines de phishing. Votre signalement peut protéger d'autres utilisateurs.
Étape 5 : Si vous avez déjà cliqué sur le lien et saisi des informations, connectez-vous immédiatement au vrai Binance pour modifier votre mot de passe, réinitialiser votre 2FA, vérifier l'historique des retraits, et en même temps, transférez tous vos actifs vers le compte Spot (au comptant) et activez la période de réflexion (cooling-off) pour les retraits.
Utilisation avancée du code Anti-Phishing
Utilisation 1 : Différencier plusieurs comptes. Si vous possédez plusieurs comptes Binance (par ex., un compte personnel et un compte d'entreprise), définissez un code Anti-Phishing différent pour chaque compte, comme "PERSO01", "ENTREPRISE01". À la réception d'un e-mail, vous saurez au premier coup d'œil à quel compte il est destiné.
Utilisation 2 : Remplacement régulier. Il est recommandé de modifier le code Anti-Phishing tous les 6 à 12 mois. Si vous soupçonnez que votre boîte de messagerie a pu être piratée, modifiez-le immédiatement. Le processus de remplacement est exactement le même que pour la configuration initiale.
Utilisation 3 : Combiner avec les règles de filtrage de messagerie. Configurez des règles dans Gmail ou Outlook : les e-mails contenant "Code Anti-Phishing : XXXXXX" dans le corps reçoivent automatiquement un libellé "Vrai Binance", sinon, ils reçoivent un libellé "Phishing Suspecté", clair au premier coup d'œil.
Utilisation 4 : Partager avec des proches de confiance. Communiquez votre code Anti-Phishing à un membre de votre famille en qui vous avez confiance. Si vous recevez un e-mail suspect et n'êtes pas sûr de son authenticité, vous pouvez effectuer une vérification croisée. Remarque : Le code Anti-Phishing n'est pas un mot de passe. Le partager avec votre famille n'entraînera pas le vol de votre compte, mais ne le divulguez pas à des inconnus.
Foire aux questions
Q : Le code Anti-Phishing apparaîtra-t-il dans tous les e-mails de Binance ? R : Oui. Cela inclut tous les types d'e-mails, tels que les rappels de connexion, les notifications de retrait, les campagnes marketing, les relevés mensuels, les avertissements API, etc., qui seront affichés à une position fixe en haut ou en bas de l'e-mail.
Q : Combien de temps faut-il pour que cela prenne effet après la configuration ? R : Cela prend effet immédiatement. Le premier e-mail qui vous sera envoyé après la configuration l'inclura déjà.
Q : Le code Anti-Phishing peut-il empêcher le phishing par SMS ? R : Non. Le code Anti-Phishing est utilisé uniquement pour les e-mails. Vous devez vous fier à d'autres méthodes d'identification pour le phishing par SMS ; par exemple, les SMS officiels de Binance ne contiendront aucun lien. Les "SMS Binance" contenant des liens sont tous de faux SMS.
Q : Que faire si j'oublie le code Anti-Phishing que j'ai défini ? R : Connectez-vous à la page de sécurité du compte Binance pour voir directement votre code Anti-Phishing actuel, ou vous pouvez le modifier à tout moment.
Q : Le code Anti-Phishing sera-t-il visible par les employés de Binance ? R : Oui. Le service client de Binance peut voir votre code Anti-Phishing lorsqu'il examine un ticket d'assistance. C'est prévu par conception, alors ne définissez pas votre code Anti-Phishing de la même manière que le mot de passe de vos autres services.
La configuration du code Anti-Phishing ne prend que 30 secondes et constitue l'une des mesures de sécurité ayant le meilleur retour sur investissement. Si vous ne l'avez pas encore activé, il est fortement recommandé de le faire dès maintenant. En l'associant au 2FA, à la liste blanche des retraits et aux alertes de connexion, vous construisez un système complet de sécurité pour votre compte, vous permettant de dormir sur vos deux oreilles dans le monde de la crypto.