Rechercher « site officiel Binance » sur un moteur de recherche fait souvent apparaitre une dizaine de resultats, mais le vrai portail officiel n est que binance.com. Beaucoup d autres resultats sont des sites contrefaits optimises SEO jusqu en premiere page, ou des sites d hameconnage qui ont achete des mots-cles publicitaires. Cet article decompose les caracteristiques des faux sites a partir des trois techniques principales : emplacements publicitaires dans les recherches, contrefacon de caracteres Punycode, deguisement de domaines par prefixe et suffixe, pour que vous puissiez distinguer le vrai du faux au premier coup d oeil. Pour acceder rapidement au vrai portail, vous pouvez utiliser le site officiel Binance ou l App officielle Binance. Pour les problemes d installation mobile, consultez le tutoriel d'installation iOS.
Les emplacements publicitaires dans les recherches sont une zone sinistree de faux sites
Le label « officiel » des emplacements publicitaires n est soumis a aucune contrainte
Les emplacements publicitaires de Google, Bing, Baidu portent la mention « Sponsorise » ou « Publicite », mais le systeme publicitaire n examine que le compte de diffusion, pas si le domaine est vraiment officiel. Tant que l enchere est assez elevee, n importe qui peut afficher son site contrefait en haut des resultats de recherche. Historiquement, a plusieurs reprises, des sites contrefaits Binance ont occupe a long terme des emplacements publicitaires.
Les URL des liens publicitaires passent par des redirections
Lorsqu on clique sur une publicite de site contrefait, on passe par une chaine de suivi de redirection, le domaine d atterrissage reel peut etre binance-login.cc, binance-official.io ou une autre adresse manifestement suspecte. Mais comme la redirection est tres rapide, les utilisateurs n ont souvent pas le temps de le remarquer et sont deja en train de saisir leur mot de passe.
La methode d identification est simple
Dans les resultats de recherche, des que vous voyez n importe quelle mention « Sponsorise/Publicite », passez-la et descendez pour trouver les resultats de recherche naturels. Dans les resultats naturels, le premier qui commence par binance.com est officiel. Une pratique plus sure est de taper directement binance.com dans la barre d adresse.
Punycode est la technique de contrefacon la plus insidieuse
Qu est-ce que Punycode
Punycode est une norme qui convertit les caracteres Unicode (comme le chinois, le russe, les lettres grecques) en domaines affichables en ASCII. Par exemple xn--80ak6aa92e.com peut s afficher comme « аpple.com » dans Chrome, mais ce а n est pas un a anglais, c est la lettre cyrillique а.
Cas de contrefacon visant Binance
Historiquement sont apparus des domaines contrefaits comme bіnance.com (le i est la lettre cyrillique і), binаnce.com (le a est la lettre cyrillique а). A l oeil nu cela ressemble totalement a binance.com, mais ce sont en realite des domaines completement differents, pas des actifs de Binance.
Comment identifier
- Dans la barre d adresse du navigateur, copiez l URL entiere et collez-la dans un editeur de texte brut ou un bloc-notes pour la voir. Le Punycode s affichera dans le texte brut sous la forme ASCII commencant par xn--, ce qui l expose immediatement.
- Chrome et Firefox ont tous deux integre des avertissements pour les domaines a scripts mixtes, si le navigateur affiche un message « le domaine que vous visitez peut etre contrefait », ne l ignorez surtout pas.
- Prendre l habitude d entrer uniquement depuis les favoris evitera de tomber dans ce type de contrefacon de caracteres.
Techniques de deguisement par prefixe et suffixe
Deguisement par trait d union
Les domaines avec trait d union comme binance-login.com, binance-app.com, binance-vip.com, binance-official.com ne sont dans 99% des cas pas officiels. Binance officiel n utilise que binance.com et les quelques domaines de secours annonces officiellement (binance.info, binance.bz, etc.), n utilise jamais de sous-domaines de second niveau avec trait d union comme portail de connexion.
Deguisement par sous-domaine
Des structures comme login.binance-safe.com, user.binance-account.net placent binance dans le domaine principal plutot que dans le sous-domaine, cela ressemble a un sous-site, mais en realite le domaine principal binance-safe.com lui-meme est enregistre par quelqu un d autre. La vraie structure des sous-domaines Binance devrait etre accounts.binance.com, www.binance.com, le domaine principal reste toujours binance.com.
Remplacement de domaine de premier niveau
Les domaines avec TLD remplace comme binance.net, binance.org, binance.vip, binance.top, binance.cn n appartiennent dans la grande majorite pas a Binance officiel. Seuls binance.com, binance.info, binance.bz, binance.us sont les actifs officiels de Binance.
Tableau comparatif vrai vs faux site
| Caracteristique | Vrai officiel | Manifestations courantes des sites contrefaits |
|---|---|---|
| Domaine | binance.com | binance avec trait d union / lettres remplacees / TLD remplace |
| Certificat | Delivre par une autorite de certification de confiance | Auto-signe, expire, sujet non conforme |
| Bas de page | Informations d entreprise completes, service client, accords | Informations manquantes ou copier-coller mal faits |
| Portail du service client | Redirige vers support.binance.com | Redirige vers faux service client ou groupe Telegram |
| Telecharger l APP | Pointe vers binance.com/download | Pointe vers un stockage cloud tiers ou un site apk |
| Actifs apres connexion | Synchronises avec l APP | La page se bloque ou redirige apres la connexion |
Habitudes de protection lors des recherches
Entrer uniquement depuis les favoris
Apres avoir confirme la premiere fois qu il s agit du site officiel, ajoutez-le immediatement aux favoris, puis entrez toujours depuis les favoris. C est l habitude unique la plus efficace contre la contrefacon, plus utile que d installer n importe quelle extension de navigateur.
Activer le mode « HTTPS only »
Chrome, Edge, Firefox disposent tous d un interrupteur « Toujours utiliser HTTPS ». Une fois active, l acces a toute page non-HTTPS declenchera un avertissement force du navigateur. Les sites contrefaits sont parfois trop paresseux pour configurer un certificat HTTPS ou utilisent un certificat auto-signe, activer cette fonction en bloquera un grand nombre.
Activer le code anti-hameconnage
Apres connexion a Binance, configurez un code anti-hameconnage (generalement 3-4 lettres ou chiffres) dans le « Centre de securite ». Ensuite, tous les e-mails officiels provenant de Binance afficheront ce code en en-tete, les e-mails contrefaits ne l auront pas. C est un outil cle pour vous aider a identifier les e-mails d hameconnage.
Ne pas se connecter sous Wi-Fi public
Le Wi-Fi public des aeroports et cafes peut faire l objet d un detournement DNS par attaque de l homme du milieu, vous saisissez binance.com et cela est resolu vers le serveur de l attaquant. Si vous pouvez utiliser vos donnees mobiles, n utilisez pas le Wi-Fi public pour vous connecter a Binance, et si vous devez vraiment l utiliser, ouvrez d abord un VPN.
Questions frequentes
Le premier resultat de recherche Baidu est-il officiel
Pas forcement. Le haut des resultats de recherche Baidu est souvent un emplacement publicitaire payant, le vrai binance.com peut etre repousse au second ecran. Prenez l habitude de sauter les publicites, et regardez dans les resultats naturels le premier lien qui se termine par binance.com.
Que faire si j ai clique sur la connexion d un site contrefait
Faites immediatement trois choses : modifiez le mot de passe sur le vrai site officiel, desactivez et re-associez la 2FA, verifiez si la cle API a des autorisations anormales. Ensuite, connectez-vous a votre boite mail pour consulter les notifications de connexion recentes et voir si l attaquant a deja tente de se connecter.
Peut-on faire entierement confiance aux icones « securite/cadenas » du navigateur
Le cadenas n indique que le chiffrement de la transmission HTTPS, pas que le domaine lui-meme est officiel. Les sites contrefaits peuvent egalement configurer un certificat Let's Encrypt valide pour afficher le cadenas. Le cadenas ne prouve que le chiffrement de la connexion, pas l authenticite de l identite.
Peut-on confirmer l adresse via le telephone du service client
Binance n a pas de numero de service client chinois public pour la Chine continentale. Quiconque pretend etre du service client Binance, appelle ou ajoute WeChat, doit etre fortement suspecte. Le service client officiel ne fournit des tickets et du chat web que sur support.binance.com.
Les liens des sites de navigation tiers sont-ils fiables
La credibilite relative depend du site de navigation lui-meme. Les sites de navigation non reconnus dans l industrie ne sont pas recommandes, les sites contrefaits achetent souvent ou se deguisent en sites de navigation. Le plus sur reste d enregistrer soi-meme les favoris.