La confusion sur les sources de téléchargement est le plus grand risque de sécurité pour les applications de crypto-monnaies. L'installation d'une version contrefaite peut entraîner le vol de vos identifiants et de vos informations 2FA. Le point de départ pour une vérification fiable est le lien de téléchargement officiel sur le site officiel de Binance, puis d'utiliser le bouton de l' application officielle de Binance pour finaliser le téléchargement. Pour la vérification des certificats iOS, veuillez vous référer au tutoriel d'installation iOS. Il existe 4 dimensions clés pour déterminer s'il s'agit d'une version officielle : le certificat de signature, la taille du paquet, la liste des autorisations et l'icône avec le Bundle ID.
I. Les 4 dimensions pour identifier la version officielle
Étape 1 : Vérifier le certificat de signature
Le signataire des fichiers APK Android doit être Binance Holdings Limited (certaines versions anciennes peuvent porter le nom de Binance Operations Limited). Pour les versions iOS, le Team ID du développeur est GN7MM956V6 et le Bundle ID est com.czzarc.seaplane. Toute version dont ces valeurs ne correspondent pas est obligatoirement une contrefaçon.
Étape 2 : Vérifier la taille du paquet
La version officielle la plus récente de l'APK Android pèse environ 96 Mo ± 2 Mo, et l'IPA iOS environ 148 Mo ± 3 Mo. Si le paquet téléchargé fait moins de 50 Mo ou plus de 200 Mo, il s'agit presque à 100 % d'une version falsifiée ou ré-empaquetée.
Étape 3 : Vérifier la liste des autorisations demandées
L'application officielle ne demande que les autorisations nécessaires : stockage, appareil photo (pour le scan KYC), réseau, notifications et biométrie. Si vous constatez des demandes pour les contacts, le journal d'appels, la lecture de SMS, la localisation précise ou l'accéléromètre, désinstallez-la immédiatement.
Étape 4 : Vérifier l'icône et l'interface utilisateur (UI)
L'icône officielle de Binance est une lettre B dorée dans un losange, sur fond sombre ou blanc. Les versions frauduleuses utilisent souvent des icônes similaires mais légèrement déformées, avec un écart de couleur de plus de 10 %. Si la police, l'espacement ou le style d'animation diffèrent, il peut s'agir d'une application de type « wrapper ».
II. Méthodes spécifiques de vérification de signature
Vérification sur Android : Avant d'installer l'APK, effectuez un appui long sur le fichier dans le gestionnaire de fichiers → Propriétés → Certificat, pour voir le nom de l'organisme émetteur. Vous pouvez également utiliser la commande apksigner verify --print-certs pour voir la chaîne de certification complète. L'empreinte SHA-256 de la signature officielle est fixe et a été publiée dans la FAQ du site officiel.
Vérification sur iOS : Réglages → Général → VPN et gestion de l'appareil, pour voir le nom du développeur de l'application d'entreprise. La signature officielle n'est pas visible sur les versions App Store (signées par Apple), s'affiche comme Binance Holdings sur TestFlight, et affiche le signataire correspondant pour les versions d'entreprise.
Vérification sur ordinateur :
Sur Windows, faites un clic droit sur l'EXE → Propriétés → Signatures numériques ; le signataire doit être Binance Holdings Limited. Sur macOS, utilisez codesign -dvv /Applications/Binance.app pour vérifier l'identifiant du développeur.
III. Tableau comparatif des quatre caractéristiques
| Dimension de vérification | Valeur de la version officielle | Caractéristiques courantes des versions contrefaites | Niveau de danger |
|---|---|---|---|
| Signature Android | Binance Holdings Limited | Signature aléatoire ou absente | Très élevé |
| Bundle ID iOS | com.czzarc.seaplane | Nom proche (caractères en plus ou en moins) | Très élevé |
| Taille APK | 96 Mo | 20-40 Mo ou 150 Mo+ | Élevé |
| Taille IPA | 148 Mo | 50-80 Mo ou 200 Mo+ | Élevé |
| Liste autorisations | Environ 8-10 autorisations nécessaires | Accès aux contacts / SMS | Très élevé |
| Team ID développeur | GN7MM956V6 | Tout autre identifiant | Très élevé |
| Couleur de l'icône | #F0B90B (Jaune doré) | Écart de couleur ± 10 % | Moyen |
| Lien du site officiel | Se termine par binance.com | Contient des suffixes comme -dl / -app | Élevé |
IV. Techniques de contrefaçon typiques et prévention
Technique A : Site de phishing imitant le site officiel Une recherche pour « Téléchargement Binance » peut mener à des sites comme binance-dl.xxx ou binance-app.xxx. L'URL ressemble à 80 % au site officiel, mais le certificat de signature est faux. Prévention : ne faites confiance qu'à l'icône de cadenas vert dans la barre d'adresse et à l'adresse correspondant exactement à binance.com.
Technique B : Ré-empaquetage par des boutiques d'applications tierces Certaines boutiques tierces téléchargent l'APK officiel, y insèrent un SDK publicitaire ou un code espion, puis le signent à nouveau. La taille du paquet est généralement supérieure de 5 à 15 Mo à l'officiel. Prévention : téléchargez uniquement depuis Google Play, le site officiel de Binance ou la boutique d'applications préinstallée de votre système.
Technique C : Incitation au téléchargement via les réseaux sociaux Les liens « Dernière version de Binance » partagés sur Telegram ou Discord sont des liens de phishing dans plus de 80 % des cas. Le prétexte courant est que « le canal officiel est lent, cette version est plus rapide ». Ignorez tout lien partagé via des outils de messagerie.
Technique D : Usurpation d'identité du support client De faux agents de support demandent, par e-mail ou SMS, de « vérifier votre identité en téléchargeant à nouveau l'application », via un lien vers un site frauduleux. Le vrai support de Binance ne vous demandera jamais de télécharger à nouveau l'application de cette manière.
Technique E : Détournement SEO par mots-clés Les premiers résultats des moteurs de recherche peuvent être des emplacements publicitaires payants. Certains réseaux criminels achètent ces espaces pour diriger les utilisateurs vers de faux sites. Sautez les publicités et cliquez directement sur les résultats portant la mention « Officiel ».
V. Processus de vérification en 5 étapes après téléchargement
Étape A : Vérifier l'adresse du site officiel Confirmez que l'adresse dans le navigateur est binance.com (ou ses variantes régionales conformes comme binance.us) et qu'il y a un cadenas HTTPS.
Étape B : Vérifier le SHA256 avant installation La page de téléchargement officielle publie la valeur SHA256 pour chaque version. Après le téléchargement, utilisez un outil système (certutil sur Windows, shasum sur macOS) pour calculer la valeur de vérification du fichier et la comparer.
Étape C : Examiner la liste des autorisations avant installation Lors de l'installation sur Android, toutes les autorisations demandées sont listées. Lisez-les attentivement et arrêtez l'installation si des éléments sont suspects.
Étape D : Observer l'interface au premier lancement L'animation de démarrage de l'application officielle dure environ 1,5 seconde, puis mène à la page de connexion. Si des fenêtres contextuelles supplémentaires, des publicités ou des demandes d'accès aux contacts apparaissent, soyez vigilant.
Étape E : Vérifier les domaines après connexion Dans le processus de connexion officiel, toutes les requêtes API sont dirigées vers api.binance.com. Si l'application se connecte à un domaine inconnu, désinstallez-la immédiatement et réinitialisez vos identifiants et votre 2FA.
VI. FAQ - Questions fréquemment posées
Q : J'ai installé une fausse version par erreur et saisi mon mot de passe, que faire ? R : Utilisez immédiatement un autre appareil sécurisé pour vous connecter à la version web officielle : 1) Changez votre mot de passe ; 2) Désactivez toutes les anciennes clés API ; 3) Réinitialisez votre 2FA ; 4) Vérifiez l'historique des transferts de fonds. Ce traitement d'urgence doit être effectué en moins de 10 minutes.
Q : Les versions signées « Entreprise » pour iOS sont-elles sûres ? R : Cela dépend de la source de la signature. Les sources officielles (liens d'entreprise sur le site officiel) sont sûres et identiques aux versions App Store. Cependant, une installation via une plateforme tierce présente un risque de modification. Fiez-vous uniquement aux liens provenant du domaine binance.com.
Q : L'icône ou l'écran de démarrage a changé après une mise à jour, est-ce une fausse version ? R : Pas forcément. Binance effectue des refontes de l'interface utilisateur lors de mises à jour majeures. Le jugement doit se baser sur la signature, la taille du paquet et les autorisations, pas seulement sur l'apparence.
Q : Comment signaler un lien frauduleux ? R : Binance dispose d'un portail de signalement anti-phishing dans son centre d'aide. Après soumission, Binance coordonne le retrait du site avec les autorités de régulation. Les boutiques Google et Apple ont également des boutons de signalement intégrés.
Q : Comment protéger les personnes âgées qui risquent de se tromper ? R : Conseillez-leur d'utiliser la version App Store d'iOS (contrôle strict) et activez les restrictions de temps d'écran pour interdire l'installation d'applications hors App Store. Sur Android, désactivez « l'installation de sources inconnues » pour limiter les risques.