Chaque package d'installation officiel de Binance publié sur la page de téléchargement du site officiel de Binance est accompagné d'une valeur de vérification SHA-256, sous la forme 8d5f2a1c9b3e47d6... (64 caractères hexadécimaux). Le principe de la vérification consiste à recalculer la valeur SHA-256 du fichier APK/DMG/EXE que vous avez téléchargé localement à l'aide d'un outil de hachage, puis à la comparer caractère par caractère avec la valeur officielle. Seule une correspondance exacte prouve que le fichier n'a pas été altéré par un intermédiaire. Le moyen le plus direct d'obtenir le package d'installation officiel est de cliquer sur l' App officielle de Binance, ce qui permet d'éviter les packages corrompus des sites miroirs tiers. Voici comment effectuer une vérification SHA-256 en moins de 30 secondes sous Windows, macOS, Linux et Android, ainsi qu'une méthode avancée pour vérifier la signature des APK.
I. Qu'est-ce que la vérification SHA-256 ? Pourquoi est-ce indispensable ?
SHA-256 est un algorithme de hachage de la famille SHA-2 qui transforme n'importe quel fichier, quelle que soit sa taille, en un résumé fixe de 256 bits (64 caractères hexadécimaux). Trois caractéristiques le rendent idéal pour la vérification d'intégrité :
- Résistance à l'altération : Si un seul octet du fichier est modifié, tout le résumé change radicalement.
- Résistance aux collisions : Il est actuellement impossible pour un ordinateur de générer deux fichiers différents ayant le même résumé.
- Unidirectionnalité : On ne peut pas reconstituer le fichier original à partir de son résumé.
Pourquoi est-ce crucial ? Une technique courante des pirates consiste à décompiler l'APK original, à y injecter un SDK malveillant (pour surveiller les adresses de portefeuilles dans le presse-papiers par exemple), puis à le re-packager et à le diffuser sur des sites tiers. En apparence, l'icône, le nom du package et le numéro de version sont identiques, mais le SHA-256 sera inévitablement différent. Cette étape de vérification permet de bloquer 99 % des faux packages.
II. Comment vérifier le SHA-256 sous Windows ?
Windows 10 et 11 intègrent la commande certutil, vous n'avez donc aucun logiciel à installer.
Méthode 1 : Commande certutil
- Placez le fichier téléchargé, par exemple
BinanceSetup-1.50.2.exe, dansD:\Downloads\. - Appuyez sur Win + R, tapez
cmdet ouvrez l'invite de commande. - Tapez la commande suivante :
certutil -hashfile D:\Downloads\BinanceSetup-1.50.2.exe SHA256
- Appuyez sur Entrée, le résultat s'affiche après 3 à 5 secondes :
SHA256 hash de D:\Downloads\BinanceSetup-1.50.2.exe:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4
CertUtil: -hashfile commande réussie.
- Comparez ces 64 caractères avec le SHA-256 indiqué sur la page de téléchargement du site officiel de Binance. Une correspondance exacte garantit la sécurité.
Méthode 2 : PowerShell Get-FileHash
La commande PowerShell est plus concise :
Get-FileHash D:\Downloads\BinanceSetup-1.50.2.exe -Algorithm SHA256
Format de sortie :
Algorithm Hash Path
SHA256 8D5F2A1C9B3E47D6F8A2C5B9E1D3F7A2... D:\Downloads\...
Notez que PowerShell affiche le résultat en majuscules. Lors de la comparaison, ignorez la casse ou convertissez tout en minuscules.
Méthode 3 : Menu contextuel de 7-Zip
Si vous avez installé 7-Zip, faites un clic droit sur le fichier EXE → CRC SHA → SHA-256. Une fenêtre affichera directement la valeur de hachage. C'est la méthode la plus conviviale pour les utilisateurs peu familiers avec la ligne de commande.
III. Comment vérifier le SHA-256 sous macOS ?
Méthode 1 : Commande shasum
macOS intègre shasum. Ouvrez le Terminal et tapez :
shasum -a 256 ~/Downloads/Binance-1.50.2.dmg
Sortie :
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4 /Users/vous/Downloads/Binance-1.50.2.dmg
Méthode 2 : openssl
Si shasum ne fonctionne pas, vous pouvez utiliser openssl :
openssl dgst -sha256 ~/Downloads/Binance-1.50.2.dmg
Méthode 3 : Outil GUI QuickHash
Si vous préférez une interface graphique, vous pouvez installer QuickHash-GUI (gratuit). Il suffit de glisser le fichier DMG dans l'outil pour voir les différentes valeurs de hachage.
IV. Comment vérifier le SHA-256 sous Linux ?
Sous Linux, l'utilisation de sha256sum est la méthode standard :
sha256sum ~/Downloads/BinanceSetup.AppImage
Ou pour une vérification par lots :
cd ~/Downloads
sha256sum -c binance.sha256
Ici, binance.sha256 est un fichier texte que vous avez créé, dont le format est le suivant :
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4 BinanceSetup.AppImage
sha256sum -c comparera automatiquement les valeurs et affichera OK ou FAILED.
V. Comment vérifier un APK sous Android ?
La vérification sous Android se divise en deux étapes : la vérification de la valeur de hachage et la vérification de la signature. Il est recommandé de faire les deux.
Vérification de la valeur de hachage (Termux)
- Installez Termux (disponible sur F-Droid).
- Placez l'APK dans le dossier
/sdcard/Download/de votre téléphone. - Exécutez dans Termux :
termux-setup-storage
cd /sdcard/Download
sha256sum binance.apk
Vérification de la signature (apksigner)
Une valeur de hachage identique prouve que le fichier n'a pas été modifié, mais une signature identique prouve que le fichier a été publié par l'entité officielle Binance.
- Installez les Android SDK Build-Tools (version 34.0.0+) sur votre ordinateur.
- Exécutez :
apksigner verify --print-certs --verbose binance.apk
- Vérifiez les champs clés en sortie :
Signer #1 certificate DN: CN=Binance Cayman Holdings Limited, O=Binance, L=George Town, ST=Cayman Islands, C=KY
Signer #1 certificate SHA-256 digest: a1b2c3d4e5f6...
Le digest SHA-256 du certificat de signature est fixe. Binance ne l'a changé qu'une seule fois dans son histoire (lors de la migration v1 → v2). Si le résumé du certificat correspond à la valeur publiée officiellement, il s'agit du package authentique.
5 signaux pour identifier rapidement un faux APK
| Élément à vérifier | Caractéristique de l'original | Caractéristique du faux |
|---|---|---|
| Nom du package | com.binance.dev | com.binance.app / com.binance.pro (variantes) |
| Signataire | Binance Cayman Holdings | Chaîne aléatoire ou Inconnu |
| Taille du package | 70-80 Mo | 40-60 Mo ou 120 Mo+ |
| Nombre de permissions | 28-35 | 40+ (ajout des SMS/Contacts) |
| Premier lancement | Page de connexion directe | Redirection vers un domaine contrefait |
VI. Comment vérifier l'intégrité d'un fichier DMG ?
Sur macOS, en plus du SHA-256, vous pouvez utiliser codesign pour vérifier la signature du développeur :
codesign -dv --verbose=4 /Applications/Binance.app
Champs clés à vérifier :
Authority=Developer ID Application: Binance Holdings Limited (ABCDE12345)
TeamIdentifier=ABCDE12345
Le Team Identifier est l'ID du compte développeur Apple. Celui de Binance est fixe (vérifiable sur la page de support officielle). S'il diffère, cela indique un packaging tiers.
VII. Vérification de la signature numérique des fichiers EXE Windows
Méthode GUI
Faites un clic droit sur BinanceSetup.exe → Propriétés → Signatures numériques → Sélectionnez Binance Holdings Limited → Détails → Afficher le certificat.
Champs clés :
- Délivré à : Binance Holdings Limited
- Délivré par : DigiCert Trusted G4 Code Signing RSA4096
- Validité : De 2024-xx-xx à 2027-xx-xx
Méthode ligne de commande (signtool)
signtool verify /pa /v BinanceSetup.exe
La sortie Successfully verified indique que la signature est valide.
VIII. Que faire si la valeur de hachage ne correspond pas ?
Si le SHA-256 ne correspond pas après comparaison, n'exécutez pas le fichier. Causes possibles :
- Téléchargement interrompu : Le package est incomplet en raison d'une instabilité du réseau, téléchargez-le à nouveau.
- Erreur de cache CDN : Rare, mais possible. Videz le cache du navigateur ou changez de navigateur pour retélécharger.
- Attaque de l'homme du milieu : Interception possible sur un Wi-Fi public, utilisez la 4G ou votre réseau domestique pour retélécharger.
- Mise à jour différée sur le site : Lors de la sortie d'une nouvelle version, le site peut mettre quelques heures à se synchroniser. Attendez 24h ou utilisez un miroir du site officiel de Binance.
- Source de téléchargement altérée : Les packages des sites tiers sont presque toujours risqués, retournez impérativement sur le site officiel.
Questions Fréquentes FAQ
Q1 : Dois-je vérifier à chaque téléchargement ? C'est fastidieux.
R : Pour les packages téléchargés via HTTPS depuis le site officiel de Binance, la couche TLS garantit déjà l'intégrité du transfert. Pour un usage quotidien, vous pouvez sauter le SHA-256. Cependant, si vous possédez un compte avec des actifs importants, si vous téléchargez depuis un site miroir ou si vous utilisez un Wi-Fi public, la vérification est fortement recommandée.
Q2 : Le SHA-1 ou le MD5 peuvent-ils remplacer le SHA-256 ?
R : C'est déconseillé. Il a été prouvé que le MD5 est vulnérable aux attaques par collision (depuis 2004), et le SHA-1 a également été cassé par Google en 2017. Le standard industriel actuel est le SHA-256 ou le SHA-3. Binance utilise uniformément le SHA-256.
Q3 : Comment vérifier la signature directement sur Android sans ordinateur ?
R : Vous pouvez installer un outil tel que APK Signature Verifier (disponible en open source sur F-Droid). Sélectionnez l'APK pour afficher l'empreinte SHA-256 du certificat de signature et comparez-la avec la valeur officielle.
Q4 : La casse des caractères du hachage est différente, est-ce une erreur ?
R : Non. Une valeur de hachage SHA-256 est par essence hexadécimale et n'est pas sensible à la casse. PowerShell sous Windows affiche des majuscules, tandis que Linux et macOS affichent des minuscules. Il suffit de les convertir dans la même casse pour comparer.
Q5 : Si je télécharge une archive et que j'en extrais l'APK, le SHA-256 correspondra-t-il toujours ?
R : Oui. Tant que le processus d'extraction n'endommage pas le fichier, la valeur de hachage de l'APK sera identique à celle du package original. Cependant, si l'archive elle-même a été re-packagée (par exemple si elle contient plusieurs fichiers après extraction), vous ne pourrez pas comparer directement son hachage avec celui du site officiel.
Maintenant que vous maîtrisez la méthode de vérification, souhaitez-vous apprendre les techniques d'installation détaillées pour les différentes marques Android et iOS ? Retournez à la Navigation par catégorie pour continuer votre lecture.