ZH EN JA KO ES FR
S'inscrire sur Binance
Accueil Tous les articles Catégories Télécharger À propos Avertissement
ZH EN JA KO ES FR
Accueil/ Tous les articles/Sécurité/URL du Site Officiel de Binance

URL du Site Officiel de Binance

2026-04-21 Environ 20 min de lectureSécurité

Un ami m'a récemment posé une question très intéressante : connecté au Wi-Fi d'un café, il ouvrait binance.com — la page semblait normale, mais impossible de se connecter ; en bascule 4G, tout marchait. C'est un signal typique : le « site officiel » qu'il consultait avait été altéré par son environnement réseau. Pour entrer sur le vrai Binance en toute sécurité, passez par le Site Officiel de Binance, ou téléchargez l'Application Officielle Binance pour court-circuiter les risques côté web ; les utilisateurs iPhone peuvent suivre le Guide d'installation iOS. Cet article prend un angle technique pour décider si le site sous vos yeux est authentique, au-delà de l'orthographe du domaine.

Point de départ : la page que vous voyez n'est pas nécessairement celle renvoyée par le serveur

Pour un utilisateur ordinaire, « ouvrir le site officiel » ressemble à ceci : taper binance.com, le navigateur ouvre la page. En réalité, ce trajet implique résolution DNS, poignée de main TCP, poignée de main TLS, requête HTTP, réponse serveur. La moindre étape corrompue, et ce que vous voyez peut être un faux.

Trois détournements fréquents :

  • Pollution DNS : l'opérateur ou le Wi-Fi résout binance.com vers une IP erronée ; vous arrivez sur un serveur qui n'appartient pas à Binance.
  • Injection HTTP : insertion de JavaScript ou de publicités dans le trafic non chiffré ; anciennes pages de redirection .com détournées vers un clone.
  • Homme du milieu SSL : faux certificat donnant l'illusion du HTTPS ; le trafic est déchiffré puis relayé.

Une plateforme crypto comme Binance est une cible lucrative ; « regarder l'orthographe » ne suffit plus, il faut descendre plus bas.

Caractéristiques techniques du vrai site

Émetteur et validité du certificat

Sur binance.com, cliquez sur le cadenas et ouvrez le détail. Le véritable certificat Binance présente :

  • Un sujet (Subject) contenant Binance Holdings Limited ou Binance Capital Management Co., Ltd..
  • Un émetteur (Issuer) de type DigiCert, GlobalSign — grande CA, pas Let's Encrypt.
  • Un champ SAN listant à la fois *.binance.com, binance.com et divers sous-domaines.
  • Une validité d'un an ou plus, pas trois mois.

Un sujet au nom d'une personne ou d'une société inconnue, un émetteur obscur : fermez immédiatement, même si l'orthographe du domaine est correcte.

Liste HSTS Preload

binance.com figure depuis longtemps sur la liste HSTS Preload intégrée à Chromium, Firefox et Safari. Les sites de cette liste sont forcés en HTTPS côté navigateur ; même si vous tapez http://binance.com, le navigateur convertit sans envoyer de requête en clair.

Conséquences :

  • Un label « Non sécurisé » ou une page http://binance.com qui s'affiche normalement signale un faux site.
  • Les clones, absents de la liste Preload, fonctionnent soit en HTTP, soit avec un certificat gratuit : les détails trahissent l'imposture.

Sur hstspreload.org, recherchez binance.com pour confirmer sa présence.

WHOIS

Via who.is ou whois.domaintools.com, interrogez binance.com :

  • Titulaire : Binance.
  • Date de création : autour de 2017.
  • Registraire : MarkMonitor ou équivalent enterprise — pas Namecheap ni Alibaba Cloud.

Les clones économiques utilisent des registraires grand public, une date récente (1-2 ans), et masquent l'identité du titulaire. Une simple requête WHOIS suffit à les exposer.

En-têtes de réponse et empreinte serveur

En appuyant sur F12, onglet Network, rechargez : les en-têtes du vrai binance.com présentent :

  • Strict-Transport-Security avec un max-age long (plus d'un an).
  • X-Content-Type-Options: nosniff, X-Frame-Options: SAMEORIGIN, etc.
  • Server: cloudflare ou un champ CF-Ray sur certaines interfaces — signe que le trafic passe par Cloudflare.
  • Séparation des services par sous-domaine : accounts.binance.com, api.binance.com, www.binance.com.

Un clone auto-hébergé renvoie souvent les en-têtes Nginx par défaut, sans en-tête de sécurité ; un clone en cloud public ne correspond pas à l'infrastructure de Binance.

Illusions induites par l'environnement réseau

Piratage de Wi-Fi public

Le cas du café au début. Un Wi-Fi public peut faire deux choses : forcer l'authentification par portail captif, et injecter de la pub dans le trafic non chiffré. Pour un site HTTPS comme binance.com, l'injection est bloquée, mais le DNS peut être détourné, provoquant timeout ou erreur de certificat.

Solution : passer en 4G/5G, ou utiliser un DNS fiable (Cloudflare 1.1.1.1, Google 8.8.8.8) avec DNS-over-HTTPS ou DNS-over-TLS au niveau système.

Cache opérateur de pages obsolètes

Certains opérateurs mettent en cache des pages pour économiser la bande passante ; binance.com peut alors s'afficher tel qu'il était il y a quelques jours, avec des boutons qui ne répondent pas et des cotations figées. Un Ctrl+F5 ou un changement de réseau suffit.

Fichier hosts local modifié

Des logiciels malveillants modifient le fichier hosts pour rediriger binance.com vers une IP locale ou un serveur attaquant. Contrôlez C:\Windows\System32\drivers\etc\hosts (Windows) ou /etc/hosts (Mac/Linux) ; aucune ligne binance n'y est normalement présente.

L'avantage de l'application sur le web

En dépit de ces précautions web, l'application offre une simplicité supérieure. L'application officielle Binance intègre plusieurs mécanismes absents de la version web :

  • Adresses serveurs codées en dur dans le paquet ; pas de dépendance à la résolution DNS, détournement bien plus difficile.
  • Paquet signé par Google/Apple ; une altération fait échouer la vérification de signature et empêche l'installation.
  • Certificat épinglé (certificate pinning) ; un faux certificat en MITM est rejeté.
  • Notifications push de confirmation pour connexion, trading, retrait — une couche supplémentaire contre les attaques distantes.

Si les clones vous inquiètent, le plus simple est de n'utiliser le web que pour consulter les cours et de faire toutes les opérations sensibles dans l'application.

Schémas classiques des clones

Au fil des années, les clones suivent des schémas réguliers :

  • Domaines au glyphe proche : binαnce.com (α grecque), bınance.com (ı turque) — visuellement identiques sans Punycode.
  • Préfixes ou suffixes d'apparence légitime : binance-login.com, mybinance.net, binance-app.info — faux sous-marques sans lien officiel.
  • Fausses pages de presse : un article en apparence éditorial avec un bouton « cliquez pour vous connecter et réclamer » menant à une page de phishing.
  • Clones de page de connexion : code front-end officiel copié tel quel ; votre mot de passe est envoyé à l'attaquant qui affiche « Échec de connexion ».

Aussi habiles soient-ils, ces schémas ne résistent pas au contrôle certificat, HSTS, WHOIS.

Perspective juridique et conformité

Un point souvent ignoré : selon la juridiction, les entités exploitantes de Binance diffèrent ; « le site officiel » n'est pas juridiquement unique.

  • Site global binance.com : Binance Holdings.
  • binance.us : BAM Trading Services Inc., société américaine indépendante, système de compte totalement séparé.
  • binance.je (Jersey) : filiale pour certaines régions d'Europe (périmètre revu depuis).
  • Japon, Corée, etc. : sites régionaux indépendants.

Juridiquement, si vous êtes enregistré aux États-Unis sur binance.us, c'est votre site officiel ; dans les autres régions, c'est binance.com. En cas de litige financier, l'entité à poursuivre diffère. Détail rarement abordé, mais crucial lorsqu'un conflit monétaire survient.

FAQ

binance.com dans la barre d'adresse garantit-il la sécurité ?

Très majoritairement oui, mais pas absolument. Confirmez le sujet du certificat, le cadenas et l'absence d'avertissement « Non sécurisé ». Sur un réseau public, ajoutez un VPN ou passez par l'application.

Pourquoi binance.com ne s'ouvre-t-il pas alors que binance.info fonctionne ?

Les deux utilisent des nœuds CDN distincts ; certains opérateurs interfèrent avec la résolution du domaine principal, pas avec .info. Cela permet de consulter les annonces en dépannage, mais pour les opérations de trading, changez de réseau et revenez au site principal ou à l'application.

Binance utilise-t-il des liens courts bit.ly ou t.co ?

Les communications officielles (public, e-mail, support) n'utilisent pas de bit.ly. Binance dispose de ses propres domaines courts comme binance.bz et bnc.lt. Un « lien Binance » commençant par bit.ly doit être considéré comme du phishing.

Un antivirus sur PC suffit-il à se protéger du phishing ?

Non. Un antivirus détecte surtout les chevaux de Troie et fichiers infectés ; son efficacité sur un site de phishing pur est limitée, d'autant que les bases de menaces n'intègrent les nouveaux domaines qu'avec plusieurs jours de retard. Maîtriser quelques techniques de vérification est plus fiable.

Comment restaurer un fichier hosts modifié ?

Ouvrez hosts en administrateur, supprimez les lignes illégales mentionnant Binance ; gardez la ligne par défaut 127.0.0.1 localhost. Videz ensuite le cache DNS (ipconfig /flushdns sur Windows) et redémarrez le navigateur.

L'application peut-elle aussi être victime d'un homme du milieu ?

Théoriquement oui, mais bien plus difficile que sur le web. Le certificate pinning rejette les certificats MITM. En cas d'incident réseau, l'application affiche « Impossible de se connecter » plutôt que « ça semble marcher mais les données sont falsifiées ».