Tant que vous êtes inscrit sur le site officiel de Binance depuis plus de six mois, votre boîte de réception a certainement accumulé des dizaines d'e-mails prétendant « provenir de Binance » — certains sont authentiques, d'autres non. Les notifications de l'application officielle Binance et les e-mails arrivent parfois simultanément, ce qui offre une couche de vérification supplémentaire. Pour les utilisateurs d'iPhone, après avoir installé l'application en suivant le tutoriel d'installation iOS, prenez l'habitude de « consulter l'application avant l'e-mail » pour bloquer la grande majorité des tentatives de phishing.
R : Les trois étapes les plus rapides pour vérifier l'authenticité d'un e-mail : premièrement, vérifier le code anti-phishing (il doit s'agir de la chaîne de caractères que vous avez définie) ; deuxièmement, vérifier le domaine complet de l'expéditeur (doit être @binance.com ou @post.binance.com) ; troisièmement, survoler les liens avec la souris pour voir leur destination réelle. Si ces trois étapes sont validées, l'e-mail est authentique ; si une seule échoue, c'est un faux.
Étape 1 : Le code anti-phishing est votre ligne de défense
R : Tous les e-mails officiels de Binance concernant des opérations sur votre compte comportent votre code anti-phishing (Anti-Phishing Code) préalablement défini. Tout e-mail dépourvu de cette chaîne de caractères est à 100 % une tentative de phishing.
Emplacement du code anti-phishing
L'emplacement varie légèrement selon le type d'e-mail :
- Alerte de connexion : Dans le titre ou sur la première ligne du corps du message.
- Confirmation de retrait : Juste au-dessus du bouton de confirmation dans le corps du message.
- Alerte de sécurité : Directement dans le titre.
- Arrivée de fonds : En haut du corps du message.
Exemple :
Objet : New Login from Paris | Anti-phishing code: MyB1nance2026
Ou encore :
Anti-phishing code: MyB1nance2026
Bonjour user@example.com,
Nous avons détecté une nouvelle connexion depuis l'appareil XX...
Détails importants sur le code anti-phishing
- Si vous n'avez pas configuré de code anti-phishing, tout e-mail contenant une mention « Anti-phishing code: XXX » est suspect (l'attaquant peut inventer n'importe quelle chaîne).
- Si vous l'avez configuré, le code dans l'e-mail doit correspondre exactement, au caractère près, à celui que vous avez choisi.
- Les e-mails marketing, promotionnels ou d'événements ne comportent généralement pas de code anti-phishing (c'est un choix délibéré de Binance, car ces e-mails n'impliquent pas d'opérations sur le compte).
- Le code est sensible à la casse :
Cat$BnBest différent decat$bnb.
Étape 2 : Domaine complet de l'expéditeur
R : Le domaine complet de l'expéditeur des e-mails officiels de Binance se limite à quelques sous-domaines spécifiques. Toute variante, même infime, est une contrefaçon.
Liste des expéditeurs authentiques
| Usage | Domaine réel |
|---|---|
| Notifications de sécurité | noreply@post.binance.com |
| Campagnes marketing | marketing@post.binance.com |
| Réponses du support client | support@binance.com |
| E-mails de code de vérification | verify@post.binance.com ou noreply@directmail.binance.com |
| Notifications de conformité légale | compliance@binance.com |
Domaines contrefaits courants
| Méthode de contrefaçon | Exemple | Comment l'identifier |
|---|---|---|
| Remplacement de lettre | binnance.com, blnance.com |
Un « n » en trop ou le « i » remplacé par un « l » |
| Remplacement d'extension | binance.cn, binance.io, binance.app |
Ce n'est pas du .com |
| Ajout de préfixe | binance-fr.com, binance-login.com |
Un tiret après le domaine réel |
| Ajout de suffixe | binance.com.xx.cc |
Ressemble à un chemin mais c'est un autre domaine |
| Variantes géographiques | binance-france.com |
Binance n'utilise pas ce domaine |
| Caractères similaires | binаnce.com (utilise le « а » cyrillique) |
Visuellement identique au premier coup d'œil |
Comment vérifier l'expéditeur réel
L'opération varie selon votre client de messagerie :
- Gmail (Web) : Ouvrez l'e-mail, cliquez sur la petite flèche à côté du nom de l'expéditeur pour voir l'adresse complète.
- Outlook : Cliquez directement sur le nom de l'expéditeur.
- Apple Mail : Effectuez un appui long ou cliquez sur les détails de l'expéditeur.
- Applications mobiles : Cherchez un bouton « Détails » ou « Plus d'infos » en haut de l'e-mail.
Se fier uniquement au « Nom de l'expéditeur » affiché n'a aucun sens : n'importe qui peut configurer son nom d'affichage sur « Binance Official ». Seule l'adresse e-mail réelle compte.
Étape 3 : Vérification du lien par survol (hover)
R : Avant de cliquer sur un lien contenu dans un e-mail, vous devez impérativement le survoler avec votre souris (hover) pour vérifier l'URL de destination réelle qui s'affiche généralement en bas à gauche de votre navigateur.
Caractéristiques d'un lien authentique
- Domaine :
binance.comou ses sous-domaines commeaccounts.binance.comouwww.binance.com. - Protocole HTTPS : Tous les liens officiels utilisent
https://. - Chemin cohérent : Des chemins familiers comme
/fr/login,/security, etc.
Caractéristiques d'un lien frauduleux
- Domaine inconnu :
binance-secure.xyz,bnb-login.cc. - Liens raccourcis :
https://t.co/XXXXou autres types de liens courts qui masquent la destination finale. - Sous-domaine trompeur :
binance.com.fake-domain.io(le vrai domaine ici estfake-domain.io). - Chemin contenant des mots d'urgence :
verify,reset,urgent.
Comment faire sur mobile ?
Comme il n'y a pas de souris sur mobile, la technique consiste à maintenir le doigt appuyé sur le lien pendant 2 à 3 secondes. Un menu contextuel apparaîtra, affichant l'URL réelle. Ne cliquez jamais directement sur un lien incertain.
Test du copier-coller
En cas de doute persistant, copiez le lien et collez-le dans un bloc-notes pour l'examiner :
Texte affiché : https://www.binance.com/login
Lien réel : https://binance-fr-secure.xyz/login?redirect=binance.com
Dans un bloc-notes, l'URL complète apparaît clairement, révélant le vrai visage du lien de phishing.
Comparaison : E-mail réel vs Phishing
| Point de contrôle | E-mail authentique | E-mail de phishing |
|---|---|---|
| Code anti-phishing | Affiché correctement | Absent / Erroné / Formule générique |
| Domaine expéditeur | @binance.com ou sous-domaine |
@binance-xx.com ou autre variante |
| Survol du lien | Pointe vers binance.com | Redirige vers un domaine inconnu |
| Qualité de la langue | Naturelle et correcte | Souvent des erreurs de traduction ou des tournures bizarres |
| Salutation | Votre pseudonyme d'inscription | « Cher utilisateur » / « Dear customer » |
| Ton d'urgence | Factuel et objectif | Pressant, exige une action sous 24h |
| Pièces jointes | Quasiment jamais | Souvent des fichiers .zip / .html / .pdf |
| Pied de page légal | Complet et standardisé | Manquant ou incohérent |
Argumentaires courants du phishing
R : Le phishing est une forme d'ingénierie sociale. Les discours tournent généralement autour de deux leviers : la « peur » et l'« avidité ». Reconnaître ces schémas permet de garder son sang-froid.
Le levier de la peur
- « Connexion anormale détectée, vérifiez votre compte immédiatement pour éviter le gel des fonds. »
- « Une demande de retrait de 5 BTC a été initiée. Elle sera exécutée dans 10 minutes. Cliquez ici pour l'annuler si ce n'est pas vous. »
- « Suite à une nouvelle réglementation, veuillez refaire votre KYC sous 48h sous peine de clôture définitive du compte. »
- « Fuite de clé API détectée, veuillez la réinitialiser de toute urgence. »
Le levier de l'avidité
- « Félicitations ! Vous avez été sélectionné pour un airdrop de BNB. Cliquez ici pour réclamer vos 1000 USDT. »
- « Accès exclusif au Launchpool Binance, places limitées pendant 24h. Inscrivez-vous maintenant. »
- « Compensation VIP créditée sur votre compte, cliquez pour la recevoir. »
Peu importe l'argumentaire utilisé, la règle d'or est : restez calme, vérifiez, puis agissez. Aucun problème réel ne sera aggravé parce que vous avez pris 30 minutes pour vérifier les faits.
La méthode la plus sûre : Le canal inverse
R : La pratique la plus infaillible consiste à ne jamais cliquer sur quoi que ce soit dans un e-mail, et à se rendre manuellement sur le site officiel de Binance pour vérifier les notifications.
Étapes de la vérification inversée
- Vous recevez un e-mail suspect ou important.
- Fermez votre messagerie sans rien cliquer.
- Ouvrez votre navigateur et tapez manuellement
binance.comou utilisez votre favori enregistré au préalable. - Connectez-vous à votre compte.
- Allez dans le « Centre de notifications » ou la messagerie interne.
- Vérifiez si une notification correspondante s'y trouve.
Si la notification existe sur le site = l'e-mail était vrai. Si elle n'existe pas = c'était un faux, supprimez l'e-mail immédiatement.
Le piège des pièces jointes
R : Les e-mails officiels de Binance ne contiennent presque jamais de pièces jointes. Soyez extrêmement méfiant face à tout e-mail prétendant venir de Binance et contenant des fichiers .zip, .exe, .html ou .pdf.
Déguisements courants
Binance_Security_Update.exe: Un cheval de Troie direct.Account_Verification.html: Une page de phishing locale qui s'ouvre dans votre navigateur.Receipt.pdf.exe: Utilise une double extension pour masquer le fichier exécutable.KYC_Form.zip: Contient souvent des documents malveillants ou des scripts.
Cas rares de pièces jointes réelles
- Le support client peut envoyer un document PDF juridique après que vous ayez ouvert un ticket, mais ils vous préviendront d'abord via le chat du support.
- Certains relevés mensuels ou factures peuvent être en PDF, mais ils ne demandent généralement pas d'action sensible immédiate.
Dans le doute, si un e-mail comporte une pièce jointe inattendue : supprimez-le.
Foire aux questions (FAQ)
Q : Que faire si je détecte un e-mail de phishing ?
R : Suivez ces étapes : (1) Ne cliquez sur rien et n'ouvrez aucune pièce jointe ; (2) Signalez-le comme « Spam » ou « Phishing » dans votre messagerie ; (3) Transférez l'e-mail original (avec les en-têtes complets) à report@binance.com ; (4) Supprimez l'e-mail.
Q : L'e-mail provient d'une adresse que je connais, peut-il quand même être faux ?
R : Oui. Les attaquants peuvent usurper (spoofing) des adresses réelles. Vérifiez les champs SPF, DKIM et DMARC dans l'en-tête de l'e-mail. Un e-mail authentique passera ces tests (pass), tandis qu'un faux échouera souvent (fail).
Q : Binance peut-il me contacter par SMS ou par téléphone ? R : Oui, mais uniquement pour : (1) L'envoi de codes de vérification (que vous avez demandés) ; (2) Un rappel du support après l'ouverture d'un ticket (très rare). Binance ne vous enverra jamais de lien par SMS pour une action urgente et ne vous demandera jamais votre mot de passe ou vos codes par téléphone.
Q : Est-il plus sûr d'utiliser une adresse e-mail dédiée à la crypto ?
R : Absolument. Il est fortement recommandé d'utiliser une adresse e-mail unique (ex: monnom.crypto@gmail.com) exclusivement pour vos comptes d'échange, sans la lier à vos réseaux sociaux ou à vos usages personnels/professionnels.
Q : Je n'ai jamais configuré de code anti-phishing, est-ce normal ? R : Oui, cette fonction doit être activée manuellement. Rendez-vous dans les paramètres de « Sécurité » → « Code anti-phishing » sur votre compte Binance. Une fois activé, il sera présent sur tous vos e-mails officiels. S'il n'est pas activé, fiez-vous à la double vérification « Domaine expéditeur + Survol de lien ».
Q : Puis-je répondre à un e-mail de phishing pour me moquer de l'arnaqueur ? R : C'est déconseillé. Toute interaction confirme aux attaquants que votre adresse est « active », ce qui vous exposera à encore plus de sollicitations frauduleuses à l'avenir. La meilleure réponse est le silence : signaler et supprimer.