Lorsque vous recherchez « Binance officiel » dans un moteur de recherche, vous obtenez des dizaines de résultats ; en réalité, il n'y a qu'un seul site officiel : binance.com, ainsi que ses quelques domaines parallèles binance.info et binance.bz. Les premières positions des résultats de recherche sont souvent des emplacements publicitaires payants, fréquemment achetés par des groupes de phishing se faisant passer pour le site officiel ; les « pages encyclopédiques » ou « annuaires » au milieu sont majoritairement des sites d'information tiers, dont les liens externes mènent à un mélange douteux. La méthode la plus sûre est de saisir manuellement le domaine pour accéder au site officiel Binance, ou d'utiliser le bouton intégré « Version web » de l'App officielle Binance. Les nouveaux utilisateurs d'iPhone sont invités à d'abord suivre le tutoriel d'installation iOS pour déployer l'App, puis à effectuer toutes les connexions suivantes via le scan QR de l'App, contournant ainsi complètement le brouillard des moteurs de recherche.
5 catégories de sites fréquentes dans les résultats de recherche
Le contenu renvoyé par les moteurs de recherche n'est pas tout officiel. Le tableau ci-dessous les décompose par ordre d'apparition.
| Position | Type de site | Caractéristique typique | Niveau de sécurité |
|---|---|---|---|
| En haut, marqué « Annonce » | Emplacement publicitaire payant | Domaine avec préfixes/suffixes, mention « Annonce » en haut à droite | Extrêmement peu sûr |
| Positions 1-3 | Sites encyclopédiques / d'information | Wikipedia, sites d'actualité, forums | Informatif uniquement, ne pas s'y connecter |
| Positions 4-6 | Vrais sites officiels | binance.com / binance.info / binance.bz | Sûr |
| Positions 7-10 | Sites de tutoriels / annuaires | Blogs tiers, sites de rétrocession | Ne pas s'y connecter |
| Menu déroulant | Sites recommandés associés | Domaines contrefaits, pages de téléchargement APK | Extrêmement peu sûr |
Le classement des moteurs de recherche ne reflète pas l'autorité. De nombreux nouveaux domaines grimpent rapidement au sommet grâce à des techniques SEO black-hat, tandis que le site officiel, en raison d'une structure de contenu rigoureuse, peut au contraire se retrouver après la 4e position.
Les trois techniques de faux sites les plus courantes
Technique 1 : domaines IDN Punycode
Punycode est un mécanisme qui encode les caractères non ASCII en chaînes ASCII, pour prendre en charge les noms de domaines en chinois, russe, etc. Les sites de phishing exploitent des caractères étrangers visuellement similaires pour falsifier « binance ». Par exemple, en remplaçant la lettre latine a par la lettre cyrillique а (U+0430) : visuellement identique, mais le domaine réel est xn--binnce-xxx.com.
Méthode de reconnaissance : copiez le contenu complet de la barre d'adresse dans un bloc-notes ; s'il commence par xn--, c'est un domaine Punycode, fermez immédiatement. Chrome 104+ affiche directement la forme xn-- originale dans la barre d'adresse ; il est conseillé de maintenir votre navigateur à jour.
Technique 2 : falsification par préfixe/suffixe
Pour ce type de domaine, le corps reste « binance », mais on ajoute devant ou derrière un mot en apparence raisonnable :
- binance-login.com (entrée de connexion ? en fait le domaine principal est binance-login.com)
- accounts-binance.com (attention, un tiret au milieu et non un point)
- binance.com.download-apk.co (le domaine principal final est download-apk.co)
- binance.official-site.xyz (le domaine principal est official-site.xyz)
Les navigateurs lisent les domaines de droite à gauche : d'abord le TLD à l'extrême droite, puis le domaine de second niveau. L'appartenance réelle de tous ces sites se situe après le tiret ou le point et n'a rien à voir avec binance.
Technique 3 : substitution de caractères
- b1nance.com : le chiffre 1 remplace la lettre i
- binanee.com : deux e accolés remplacent ce
- bimance.com : m remplace in
- binancc.com : double c remplace ce
La confusion visuelle est très facile, surtout sur un petit écran mobile. La méthode consiste à lire le domaine lettre par lettre et à le comparer à l'orthographe standard de « binance ».
Comment repérer d'un coup d'œil le véritable site officiel
Étape 1 : Ignorer les emplacements publicitaires
Les tout premiers résultats comportent généralement 1 à 3 entrées marquées « Annonce » ou « Sponsored » ; faites défiler vers le bas et cherchez dans les résultats naturels. Sur Google, la mention « Sponsored » apparaît souvent en gras ; sur Bing, un libellé « Annonce » apparaît également.
Étape 2 : Examiner la longueur et la structure du domaine
La structure du domaine Binance authentique est en deux segments domaine.TLD ou en trois segments sous-domaine.domaine.TLD. Tout domaine Binance à quatre segments ou plus est suspect, par exemple xx.binance.xx.com est généralement un faux.
Étape 3 : Cliquer sur le cadenas pour vérifier le certificat
Après avoir ouvert la page, cliquez sur l'icône du cadenas dans la barre d'adresse et vérifiez l'objet du certificat SSL. Le site principal authentique est délivré à Binance Holdings Ltd, binance.us à BAM Trading Services Inc. ; tout autre nom est suspect.
Étape 4 : Vérifier le comportement des boutons clés
Sur la page d'accueil, cliquez sur « S'inscrire » : un site authentique redirige vers le sous-domaine accounts.binance.com/register ; si le domaine change complètement (par exemple vers register-binance.net), vous êtes sur un faux site.
Étape 5 : Vérification croisée avec l'App
Dans l'App Binance déjà connectée, cliquez sur « Scanner » pour scanner le QR code de connexion web. Le QR code d'un vrai site affichera des informations d'autorisation complètes (IP, navigateur, horodatage) ; le QR code d'un faux site provoquera directement une erreur « Lien invalide » dans l'App, c'est le moyen de vérification croisée le plus simple.
Différences selon les moteurs de recherche
Sur Google, les résultats sont relativement propres, le site officiel figure généralement aux positions 1-2, mais certaines régions affichent tout de même des annonces Sponsored ; attention à bien identifier le label Sponsored.
Sur Bing / Edge, utilisé par environ 30 % des utilisateurs d'entreprise, des pages de téléchargement d'APK contrefaites se glissent parfois dans les résultats ; veillez à n'entrer que via les résultats naturels et à ne pas cliquer sur les boutons « Télécharger ».
Sur DuckDuckGo / Startpage, ces moteurs de recherche axés sur la confidentialité affichent moins d'annonces et une proportion moindre de faux sites, mais le classement du site officiel peut être instable ; consultez plusieurs résultats pour vérifier.
Sur Yahoo / Yandex, les deux peuvent afficher en haut des pages d'atterrissage de groupes de phishing locaux ; pour les utilisateurs francophones, il est conseillé d'utiliser en priorité Google ou DuckDuckGo.
Que faire si vous avez déjà cliqué sur un faux site
Vous n'avez saisi aucune information
Vous n'avez fait qu'ouvrir la page sans saisir d'identifiant ni de mot de passe : fermez immédiatement l'onglet et videz le cache du navigateur. Si vous êtes inquiet, effectuez une analyse antivirus du dossier de téléchargement.
Vous avez saisi identifiant et mot de passe
Connectez-vous immédiatement à votre compte sur le vrai site officiel, changez le mot de passe, révoquez toutes les clés API, cliquez dans « Sécurité » sur « Se déconnecter de tous les appareils » et activez Google Authenticator. Si votre compte contient des actifs, transférez d'abord les gros montants vers votre propre wallet froid ou vers un autre compte.
Vous avez saisi un code 2FA dynamique
Le code dynamique se renouvelle toutes les 30 secondes, mais un faux site peut se connecter en quelques secondes avec votre compte + mot de passe + code dynamique. Connectez-vous immédiatement au vrai site officiel, réinitialisez Google Authenticator (supprimez l'ancien, rescannez pour en associer un nouveau), puis changez le mot de passe.
Vous avez téléchargé un faux APK
Ne l'installez pas. S'il est déjà installé, désinstallez-le depuis « Paramètres → Applications → Binance » et effectuez une analyse antivirus complète du téléphone. Retournez ensuite sur le vrai site officiel pour retélécharger un installateur propre.
FAQ Questions fréquentes
Binance possède-t-il un label « officiel » sur les moteurs de recherche ?
Oui. Certains moteurs de recherche apposent un badge « officiel » sur binance.com, mais ce badge ne concerne qu'un seul résultat du domaine principal. Même avec ce badge, il faut encore vérifier le certificat ; ne relâchez pas votre vigilance uniquement sur la foi du label.
Pourquoi le site officiel que j'ai trouvé est-il binancezh.com ?
binancezh.com était un domaine chinois de transition mis en place aux débuts de Binance, progressivement retiré et récupéré depuis. Il peut aujourd'hui avoir été racheté par un tiers ; ne vous y connectez surtout pas.
Comment détecter un Punycode dans un navigateur mobile ?
Un appui long sur la barre d'adresse affiche l'URL complète. Si vous voyez le préfixe xn--, c'est un domaine Punycode, quittez immédiatement.
En combien de temps un emplacement publicitaire acheté par un phisheur est-il généralement retiré ?
Une fois la plateforme alertée, l'annonce est généralement retirée dans les 24 à 72 heures ; mais avant son retrait, des milliers d'utilisateurs peuvent se faire piéger chaque jour. D'où le principe numéro un : ne cliquez pas sur les emplacements publicitaires.
Binance a-t-il officiellement déclaré que l'App ne doit être téléchargée que depuis un domaine unique ?
Les annonces officielles de Binance indiquent à plusieurs reprises « Téléchargez l'APK depuis la page officielle binance.com ». binance.info et binance.bz proposent également des liens redirigeant vers la page de téléchargement officielle, mais le CDN du fichier source final appartient toujours à la famille de domaines Binance.