La plupart des utilisateurs jugent l'authenticité du site officiel de Binance à partir du domaine binance.com et du certificat SSL. Mais les sites de phishing savent désormais acheter des certificats et imiter les lettres d'un domaine. Il existe un chemin de vérification plus difficile à falsifier — la piste des paiements : le vrai site officiel de Binance s'appuie en arrière-plan sur le réseau marchand Binance Pay et la passerelle fiat Binance Connect, deux infrastructures dont les destinataires, formats de reçus et bénéficiaires sont fixes, et qu'un clone ne peut pas reproduire. Cet article explique comment utiliser cette perspective. Avant toute inscription, passez par l'entrée d'inscription officielle Binance ; les utilisateurs mobiles installeront en parallèle l'Application Officielle Binance.
Pourquoi la vérification « côté paiement » est plus fiable que le domaine
Domaine et certificat peuvent être imités
binamce.com, binnance.com et leurs variantes apparaissent régulièrement dans les annonces payantes. Un attaquant peut obtenir un certificat SSL gratuit ; le cadenas vert s'affiche quand même. Domaine et certificat ne suffisent plus.
Les circuits de paiement ont des contreparties uniques
Quand vous déposez du fiat ou achetez des tokens sur le vrai site, le flux passe par la passerelle fiat Binance Connect (ex-Bifinity), dont la contrepartie est un établissement de paiement nommé et agréé. Le reçu affiche des bénéficiaires fixes : « Bifinity UAB », « Nuvei », « Simplex by Nuvei », etc. Un clone ne peut pas reproduire ces noms — l'argent n'y arriverait pas.
Les Merchant ID sont attribués par Binance
Binance Pay attribue à chaque marchand officiel un Merchant ID de longueur et de syntaxe fixes. Si une « boutique officielle Binance » affiche un nom de marchand incohérent avec binance.com au moment du scan, c'est un faux.
Vérification à rebours via les reçus Binance Pay
Astuce 1 : examinez le nom du destinataire
Après un paiement de test de 10 USDT via Binance Pay sur le vrai site, le détail de la transaction affiche « Binance » ou « Binance.com » comme bénéficiaire, avec un Merchant ID de la forme merchant_xxxxxxxx. Cliquer ouvre une page sur pay.binance.com.
Si, sur un prétendu « site officiel », le nom devient « BN Trading », « Binance Exchange Ltd » ou toute autre variante proche, ou si la page du marchand sort de binance.com, il s'agit d'un clone.
Astuce 2 : comparer le Binance Pay ID sur deux appareils
Connectez-vous à binance.com et ouvrez la page Pay : votre Binance Pay ID s'affiche. Sur un autre appareil, connectez-vous de la même manière : l'ID doit être strictement identique. Un faux vous attribue son identifiant interne ; les deux appareils ne coïncideront pas.
Astuce 3 : vérifier l'adresse de règlement on-chain
Après un dépôt important, Binance consolide les fonds vers ses adresses connues de stockage froid, étiquetées « Binance Hot Wallet » ou « Binance Cold Storage » par Arkham, Nansen, etc.
Collez votre TXID dans Etherscan et suivez la destination. Si l'adresse de consolidation ne porte pas l'étiquette « Binance », ou porte celle d'une autre plateforme, votre dépôt n'est pas allé chez Binance.
Vérification via la passerelle fiat Binance Connect
La page tierce qui apparaît lors d'un achat
Sur le vrai site, un achat de USDT par Visa/Mastercard ouvre une page de paiement tierce sur un des domaines suivants :
- connect.binance.com (Binance Connect en propre)
- checkout.simplex.com (passerelle Simplex)
- secure.moonpay.com (passerelle MoonPay)
- checkout.banxa.com (passerelle Banxa)
Ce sont les partenaires de paiement officiellement listés par Binance. Bien que le domaine ne soit pas binance.com, ils figurent tous dans la « liste des partenaires de paiement » du centre d'aide Binance.
Le bénéficiaire sur le relevé bancaire
Après un achat par carte, le libellé sur le relevé n'est pas « Binance » mais l'un des prestataires ci-dessus. De nombreux débutants s'en inquiètent à tort : c'est au contraire le comportement correct d'un canal officiel.
À l'inverse, si le relevé affiche directement « Binance » hors des entités américaines, japonaises ou bahreïnies, il y a de fortes chances qu'un faux site ait détourné un acquéreur tiers ; faites immédiatement opposition.
Badges marchands sur le canal C2C
Sur la C2C, chaque marchand affiche un badge à côté de son avatar : bouclier bleu pour un marchand KYC, couronne jaune pour un marchand certifié (Merchant), médaille orange pour un publicitaire (Advertiser). Un clone ne reproduit pas ce système gradué — il affiche soit tout le monde en « couronne », soit aucun badge.
Indices côté application du vrai site officiel
Nom de paquet et signature
La version Android officielle porte le nom de paquet fixe com.binance.dev (version internationale) ou com.binance.android (ancienne version) ; l'empreinte MD5 de signature est publiée dans le centre d'aide. Ouvrez l'APK avec APK Analyzer : toute divergence de nom de paquet ou de signature trahit un faux.
Sur iOS, le nom du développeur sur l'App Store doit être « Binance Inc. », et non « Binance Ltd. », « Binance Trading » ou « Binance Global ».
Liens internes vers le site officiel
Dans la vraie application, toute redirection vers le centre d'aide, Academy, les annonces, etc. reste dans le périmètre binance.com ou ses sous-domaines officiels : academy.binance.com, research.binance.com, support.binance.com.
Une fausse application renverrait vers des domaines courts ou des adresses IP sans rapport, menant à une nouvelle couche de phishing.
Signature des notifications push
Les notifications système de la vraie application sont signées « Binance ». Une fausse application ajoute des suffixes étranges : « Binance Exchange », « Binance Global », « Binance.cn ».
Six signaux officiels souvent ignorés
1. URL WebSocket : les cotations en temps réel du vrai site passent par wss://stream.binance.com:9443 ; port et domaine n'ont pas changé depuis dix ans.
2. Format de clé API : une clé API Binance fait 64 caractères, composée uniquement de lettres et chiffres. Les clés générées par un faux site sont souvent de 32 caractères ou contiennent des caractères spéciaux.
3. E-mail de bienvenue : l'expéditeur est obligatoirement @post.binance.com ou @mail.binance.com.
4. Carte Binance : la carte physique est émise par Contis Financial Services ou Paysafe ; le nom de la banque partenaire imprimé au dos n'est pas imitable.
5. Historique Launchpad/Launchpool : seuls les comptes du site principal affichent les projets déjà rejoints ; un clone n'a pas accès à cette interface.
6. Rapports Proof of Reserves : le pied de page du vrai site contient un lien vers une attestation produite par Mazars, Nexo ou équivalent ; le lien d'un faux site est cassé ou pointe vers un PDF falsifié.
Tableau de vérification par scénario
| Scénario | Action rapide | Signal d'authenticité |
|---|---|---|
| Première inscription | Attendre l'e-mail de confirmation | Expéditeur sur post.binance.com |
| Achat carte bancaire | Vérifier le bénéficiaire sur le relevé | Simplex/MoonPay/Banxa |
| Trading C2C | Observer les badges marchands | Bouclier bleu / couronne visibles |
| Dépôt de stablecoin | Suivre le TXID sur Etherscan | Consolidation sur adresse étiquetée Binance |
| Paiement Pay à un marchand | Nom du destinataire | Binance + merchant_ID |
| Téléchargement de l'application | Nom du développeur | iOS affiche Binance Inc. |
| Intégration API | Format de la clé | 64 caractères alphanumériques |
FAQ
Q1 : Pourquoi Binance Connect utilise-t-il un domaine tiers ? N'est-ce pas plus suspect ?
Binance Connect s'appuie par conception sur des établissements de paiement agréés pour l'acquisition fiat, conformément aux exigences réglementaires. Le centre d'aide Binance liste explicitement Simplex, MoonPay, Banxa, Mercuryo, etc. La présence de ces domaines dans la liste officielle suffit à les valider. À l'inverse, les encaissements fiat directs par Binance sont quasi inexistants, sauf dans des entités locales agréées (États-Unis, Japon, Bahreïn).
Q2 : La liste des Merchant ID de Binance Pay est-elle publique ?
Lors d'un paiement, le nom du marchand s'affiche automatiquement, mais Binance ne publie pas la liste complète des ID. Avant de valider un scan, restez sur l'écran de confirmation et vérifiez que le nom et l'icône correspondent à la marque attendue. Pour un versement au site officiel, le nom doit contenir « Binance » et le domaine doit appartenir à binance.com.
Q3 : J'ai reçu des tokens après paiement sur un « site officiel ». Est-ce la preuve qu'il est vrai ?
Pas nécessairement. Certains clones soignés livrent d'abord de petits montants pour instaurer la confiance, puis disparaissent après un dépôt important. Plus subtil : votre paiement est bien transféré à Binance, mais sur un compte contrôlé par l'arnaqueur. Vérifier l'authenticité ne se résume pas à « l'argent est parti » ; il faut confirmer qu'il est arrivé sur votre propre compte. Connectez-vous à la vraie application Binance (obtenue par canal officiel) et vérifiez que le solde correspond.
Q4 : Pourquoi mon relevé carte ne mentionne-t-il pas Binance ?
Parce que Binance Connect passe par des acquéreurs tiers, pratique standard dans le monde. Un relevé qui affiche Simplex, MoonPay, Banxa, Nuvei ou Mercuryo est correct. Un relevé « Binance » pour un utilisateur non américain doit au contraire éveiller le soupçon : un faux site peut avoir détourné un acquéreur.
Q5 : Un tiers connaît mon Binance Pay ID, y a-t-il un risque ?
Le Pay ID est comparable à un e-mail ou un nom WeChat : il sert à recevoir des demandes de transfert ; il ne permet pas de voler un compte. Mais combiné à un e-mail de phishing, il peut servir à simuler un « transfert d'un ami » avec un lien cliquable vers un faux site. Face à une demande de transfert inconnue, ouvrez directement l'application officielle pour vérifier si un dépôt réel est arrivé, sans jamais cliquer sur le lien du message.