Binance propose principalement trois types d'authentification à deux facteurs (2FA) : SMS, applications d'authentification (Google Authenticator / Authy) et clés matérielles (Yubikey / Passkey). En termes de sécurité, le classement est : Matériel > APP > SMS, mais la commodité suit l'ordre inverse. Les utilisateurs peuvent se connecter au site officiel de Binance pour activer un ou plusieurs types de 2FA dans la section « Sécurité du compte ». Sur mobile, la liaison peut être effectuée en scannant un code QR via l' APP officielle de Binance. Pour la première autorisation d'appareil sur iOS, vous pouvez consulter le Tutoriel d'installation iOS. Réponse directe : pour l'utilisateur moyen, l' application d'authentification (APP) est un « must », le SMS n'étant qu'une option de secours. Si vos avoirs dépassent 50 000 USDT, il est fortement recommandé de passer à une solution matérielle comme Yubikey.
I. Principes de base des trois types de 2FA
Étape 1 : 2FA par SMS
Le 2FA par SMS dépend de l'opérateur mobile qui envoie un code à 6 chiffres sur la carte SIM de l'utilisateur. L'avantage est qu'aucune application n'est nécessaire. L'inconvénient est la dépendance vis-à-vis de l'opérateur, du réseau, du signal et de la carte SIM elle-même, qui est vulnérable à de nombreuses formes de piratage.
Étape 2 : Applications d'authentification (APP)
Basées sur l'algorithme TOTP, ces applications génèrent localement un code à 6 chiffres toutes les 30 secondes. Lors de la configuration, Binance écrit une graine de 16 caractères dans l'application, après quoi aucune connexion Internet n'est requise. La disponibilité hors ligne et l'impossibilité d'intercepter le code à distance sont ses plus grands atouts.
Étape 3 : Clés matérielles
Les clés matérielles telles que Yubikey, Passkey et YubiHSM sont basées sur les standards FIDO2/U2F. Lors de la connexion, elles nécessitent une insertion physique ou une proximité NFC avec l'appareil, ainsi qu'une pression sur un bouton. Comme la clé privée ne quitte jamais le matériel, les attaques à distance sont presque inefficaces.
II. Étapes d'activation et combinaisons recommandées
Binance permet d'activer plusieurs types de 2FA simultanément. L'utilisateur doit en choisir un comme « 2FA principal », les autres servant de secours. La stratégie de combinaison recommandée est « Matériel + APP + SMS de secours » :
- Connectez-vous à votre compte → Sécurité du compte → Section 2FA.
- Première étape : activez Google Authenticator, scannez le code QR pour l'importer et notez le code de récupération de 16 caractères.
- Deuxième étape : activez le 2FA par SMS, entrez votre numéro de téléphone, recevez le code et soumettez-le.
- Troisième étape (facultative) : achetez une Yubikey ou activez Passkey, et enregistrez-la comme méthode 2FA principale.
- Une fois tous les 2FA activés, réglez l'application (APP) comme « méthode de vérification principale ».
L'intérêt de cette combinaison est le suivant : la clé matérielle gère les connexions quotidiennes, l'application fournit un secours hors ligne en cas de changement de téléphone, et le SMS sert de canal de récupération ultime. Si l'une des méthodes échoue, les autres protègent toujours le compte.
Erreur de configuration à éviter : activer uniquement le SMS et désactiver l'APP. En cas de piratage de la carte SIM, toutes les défenses tombent, l'attaquant n'ayant qu'à refaire une carte SIM pour s'emparer de tous les actifs.
III. Comparaison de la sécurité et de la commodité
Le tableau suivant compare les trois solutions selon plusieurs dimensions :
| Dimension | SMS | Application (APP) | Clé matérielle |
|---|---|---|---|
| Résistance au piratage SIM | Faible | Forte | Très forte |
| Résistance au phishing | Faible | Moyenne | Très forte (liaison au domaine) |
| Résistance aux attaques de l'homme du milieu | Faible | Moyenne | Très forte |
| Disponible hors ligne | Non | Oui | Oui |
| Latence | 1 - 60 secondes | 0 seconde | 1 - 2 secondes |
| Disponibilité régionale | Itinérance aléatoire | Mondiale | Mondiale |
| Coût initial | Zéro | Zéro | Environ 50 EUR |
| Difficulté de changement de téléphone | Faible | Code de récupération requis | Clé de secours requise |
| Niveau recommandé | Secours | Utilisation principale | Indispensable pour gros portefeuilles |
Comme on peut le voir clairement, le seul avantage restant du SMS est son « coût zéro ». Sur toutes les autres dimensions critiques, il est totalement surpassé par l'application (APP). Bien que les clés matérielles comme Yubikey coûtent plus de 50 EUR, pour les utilisateurs ayant plus de 50 000 USD d'actifs, cet investissement apporte une augmentation massive de la sécurité.
IV. Scénarios de risques typiques et solutions
Scénario 1 : Piratage de carte SIM (SIM Swap). Un attaquant persuade le service client de l'opérateur de refaire une carte SIM avec le même numéro en prétendant avoir perdu son téléphone. C'est la faille la plus importante et la plus courante du 2FA par SMS. Solution : configurer un mot de passe de vérification secondaire pour le remplacement de carte SIM chez l'opérateur, et changer le 2FA principal de Binance pour une application (APP).
Scénario 2 : Relais en temps réel de site de phishing. Un attaquant crée une fausse page de connexion Binance. Lorsque l'utilisateur saisit son mot de passe et son code SMS ou APP, l'attaquant les transmet instantanément au vrai site Binance pour se connecter. Les clés matérielles peuvent empêcher cette attaque car le standard FIDO2 lie la signature au nom de domaine ; un faux domaine ne peut pas générer de signature valide.
Scénario 3 : Virus sur mobile lisant les codes. Certaines applications malveillantes sur Android peuvent transférer silencieusement les codes SMS via la permission « lire les SMS ». Google Authenticator est plus sûr car il nécessite une action de l'utilisateur pour ouvrir l'application et voir le code, évitant ainsi la lecture automatique.
Scénario 4 : Latence des SMS en itinérance internationale. À l'étranger, le délai de réception des SMS internationaux peut dépasser 2 minutes, rendant le code expiré à son arrivée. L'application (APP) n'est absolument pas affectée par l'itinérance.
Scénario 5 : Perte de l'appareil autorisé. L'utilisateur perd son téléphone et n'a pas de code de récupération. Si l'APP et le SMS sont sur le même téléphone, les deux échouent. Il est conseillé de ne pas avoir l'APP et le SMS sur le même appareil porté sur soi (par exemple, lier le SMS à un numéro secondaire restant à domicile).
V. FAQ - Questions fréquentes
Q : Binance oblige-t-il à activer le 2FA ? R : En général, les nouveaux utilisateurs peuvent effectuer du trading spot après avoir terminé le KYC, mais l'activation des retraits, du trading Futures ou OTC nécessite de lier au moins un type de 2FA, ce qui le rend pratiquement obligatoire.
Q : Authy peut-il remplacer Google Authenticator ? R : Oui. Les deux sont basés sur le protocole TOTP. Vous pouvez choisir l'un ou l'autre lors du scan du code QR. Authy propose une sauvegarde par synchronisation cloud, mais cela augmente le risque d'intrusion via le cloud.
Q : Une clé matérielle peut-elle être liée à plusieurs comptes ? R : Oui. Une seule Yubikey peut être enregistrée sur des dizaines de sites. Binance n'occupe qu'un seul emplacement de compte et n'affectera pas les autres services.
Q : Qu'est-ce qui est mieux entre Passkey et Yubikey ? R : Yubikey est un appareil physique, offrant une sécurité plus forte ; Passkey peut être synchronisé dans iCloud Keychain ou Google Cloud, offrant une plus grande commodité. Choisissez Yubikey si vous avez le budget, ou Passkey pour la simplicité.
Q : Si je ne veux activer qu'un seul 2FA, lequel choisir ? R : Il est fortement recommandé de choisir une application d'authentification (Google Authenticator), dont la sécurité est bien supérieure au SMS, sans coût supplémentaire. Les risques liés à l'utilisation exclusive du SMS ont été prouvés à maintes reprises ces dernières années.