Combien de variantes de domaines prétendent être Binance en 2026 ? Notre base de données en recense plus de 480 actifs et plus de 2 000 sur les 24 derniers mois. Face à cette industrialisation du phishing, comprendre comment les attaquants construisent ces faux sites est aussi important que mémoriser le vrai domaine. Cet article expose les méthodes des attaquants pour vous permettre de les démasquer instantanément. La porte d'entrée légitime reste le Site Officiel Binance, et sur mobile l'Appli Officielle Binance téléchargée depuis la Page de Téléchargement.
I. Anatomie d'un faux site Binance
Les attaquants ne créent pas leurs sites au hasard. Ils suivent un processus industrialisé en 5 étapes :
- Enregistrement de domaine : achat en masse via des registrars laxistes (Namesilo, Porkbun) avec WHOIS protégé
- Hébergement : VPS bas de gamme rotatif (Vultr, DigitalOcean, parfois hébergement « bulletproof » russe ou chinois)
- Clonage du site : utilisation de outils comme HTTrack ou wget récursif pour copier l'interface réelle de binance.com
- Insertion de l'exfiltration : modification du formulaire de connexion pour envoyer mot de passe + 2FA vers un serveur Telegram
- Diffusion : campagnes publicitaires Google, fausses annonces sur Twitter, vidéos YouTube détournées, spam Telegram
Chaque étape laisse des traces. C'est en apprenant à les détecter que vous vous protégez.
1.1 Cloner ne signifie pas répliquer parfaitement
Un site cloné présente toujours des défauts subtils :
- Liens internes cassés : cliquer sur « Marchés », « Académie », « Carrières » mène à une erreur 404 ou à une redirection externe
- JavaScript incomplet : les graphiques de prix ne se mettent pas à jour en temps réel, ou les chiffres sont figés
- Délai de chargement anormal : un VPS bon marché charge plus lentement qu'un CDN mondial. Un site « Binance » qui met 5 secondes à charger est suspect
- Pied de page tronqué : la mention
© 2017 - 2026 Binance.comest souvent une image, ou manque l'année courante
1.2 Le test du « clic en marge »
Avant de saisir vos identifiants sur un site qui ressemble à Binance, cliquez sur trois éléments non critiques : le logo en haut, un lien du menu (Marchés par exemple), et un lien du pied de page (Conditions d'utilisation). Si l'une de ces actions vous redirige vers une page d'erreur ou un domaine différent, vous êtes sur un faux. Cette technique du « probing en marge » prend 10 secondes.
II. Méthodologie de détection en 5 étapes
Notre méthodologie se base sur l'analyse de centaines de faux sites :
Étape 1 : Vérification du WHOIS
Tapez whois binance.com ou utilisez whois.com. Le vrai binance.com a été enregistré en 2017 et est protégé par WHOIS privacy mais l'historique montre une stabilité. Un faux domaine est typiquement enregistré dans les 90 derniers jours — toujours suspect.
Étape 2 : Recherche du certificat sur crt.sh
Allez sur crt.sh, cherchez le nom de domaine. Le vrai binance.com a des dizaines de certificats émis par GlobalSign et DigiCert sur des années. Un faux n'a souvent qu'un seul certificat Let's Encrypt récent.
Étape 3 : Vérification via VirusTotal
Sur virustotal.com, soumettez l'URL. Le vrai binance.com est classé clean par tous les moteurs. Un faux est généralement signalé par 5 à 15 moteurs antivirus comme « phishing » ou « malware ».
Étape 4 : Test de la favicon
Comparez la favicon (l'icône d'onglet) avec celle du site officiel. Les faux utilisent souvent une favicon de basse résolution ou compressée différemment.
Étape 5 : Inspection des en-têtes HTTP
Avec les outils développeurs (F12 → Network), regardez les en-têtes de réponse. Le vrai binance.com renvoie Server: nginx, des en-têtes de sécurité Strict-Transport-Security, X-Frame-Options: DENY, Content-Security-Policy complets. Un faux site a souvent une configuration minimale ou Apache par défaut.
III. Catalogue des faux sites observés en 2026
| Domaine frauduleux | Méthode | Première détection | Statut actuel |
|---|---|---|---|
| binanace-pro.com | Typosquatting | Mars 2026 | Actif |
| binance-secure-login.net | Mot rassurant | Avril 2026 | Actif |
| bіnance.com | Cyrillique | Récurrent | Réapparaît cycliquement |
| binance.com-login-portal.cc | Sous-domaine | Mai 2026 | Actif |
| binance-2026.xyz | Année dans l'URL | Janvier 2026 | Inactif (saisi) |
| binance-airdrop-claim.com | Airdrop fictif | Février 2026 | Actif |
| binance-wallet-restore.io | Faux récupération | Mars 2026 | Actif |
| binance-kyc-verify.online | Faux KYC | Avril 2026 | Actif |
3.1 Les arnaques d'airdrop
L'arnaque « airdrop Binance » est particulièrement répandue en 2026. Un faux site propose un airdrop gratuit en échange de la connexion de votre wallet (MetaMask, Trust Wallet). En réalité, le contrat malveillant draine vos actifs dès l'approbation. Binance ne distribue JAMAIS d'airdrops gratuits via des sites externes nécessitant la connexion d'un wallet.
3.2 Les fausses récupérations de wallet
« Vous avez oublié votre phrase de récupération ? Récupérez votre wallet ici » — toute page demandant votre phrase mnémonique de 12 ou 24 mots est un piège, sans exception. Aucun service légitime ne récupère un wallet à partir de la phrase mnémonique ; cette phrase EST le wallet.
IV. Protocole d'urgence si vous avez été piégé
Vous suspectez avoir saisi vos identifiants sur un faux site ? Agissez en moins de 30 minutes :
4.1 Minute 0-5 : Sécurisation du compte
- Ouvrez binance.com depuis un appareil différent et une connexion différente (4G mobile)
- Connectez-vous, allez immédiatement dans Compte → Sécurité
- Changez le mot de passe — utilisez un mot de passe nouveau, jamais réutilisé
- Désactivez puis réactivez le 2FA (cela invalide tout 2FA volé en transit)
4.2 Minute 5-15 : Audit et invalidation
- Compte → Sécurité → Gestion des appareils : déconnectez toutes les sessions sauf celle en cours
- Compte → Gestion API : supprimez TOUTES les clés API, même celles que vous utilisez (recréez-les après)
- Compte → Sécurité → Codes anti-phishing : changez le code
4.3 Minute 15-30 : Surveillance et signalement
- Activez les notifications push pour toute opération
- Ouvrez un ticket auprès du support en décrivant le phishing
- Surveillez les opérations pendant 48 heures
- Si vos fonds ont été déplacés, contactez le support pour gel d'urgence et signalement aux autorités
4.4 Au-delà : Hygiène numérique
Vérifiez si l'ordinateur compromis n'est pas infecté par un keylogger. Lancez un scan antivirus complet (Malwarebytes, Kaspersky). Changez les mots de passe de TOUS vos services importants (e-mail, banque, autres exchanges) — un attaquant ayant accédé à une session peut tenter de pivoter.
V. Stratégies préventives
5.1 Hardware wallet pour les soldes importants
Si vous détenez plus de 10 000 EUR en crypto, transférez le surplus sur un hardware wallet (Ledger, Trezor). Garder uniquement le solde de trading actif sur l'exchange limite l'exposition en cas de compromission.
5.2 Compte e-mail dédié
Créez une adresse e-mail dédiée uniquement à Binance, hébergée chez ProtonMail ou Tutanota. Cette adresse n'est jamais utilisée ailleurs, ne reçoit aucun spam, et son mot de passe est unique. Une compromission d'e-mail principal n'affecte pas le compte Binance.
5.3 2FA matériel (YubiKey)
Le 2FA par application (Google Authenticator) est bon, mais le 2FA matériel par YubiKey est meilleur. Binance supporte FIDO2 ; activez-le. Une YubiKey ne peut être phishée par un faux site car le challenge cryptographique vérifie le domaine.
VI. Avertissement et clauses
Avertissements :
- Les méthodes de détection présentées sont valides au 2026-06-21 ; les attaquants évoluent constamment
- En cas de doute, n'agissez pas et consultez le support officiel via le Site Officiel Binance
- Cet article ne constitue ni conseil financier, ni conseil juridique
- Le trading de crypto comporte un risque substantiel ; ne tradez que ce que vous pouvez perdre
- Aucun support légitime n'utilisera WhatsApp, Telegram personnel, ou téléphone pour vous contacter sans préavis
- Ce site est un tutoriel indépendant, sans lien commercial avec Binance
Le résumé : connaître l'anatomie d'un faux site vous donne un avantage permanent. La vigilance technique vaut mieux que la mémorisation par cœur.
Questions fréquentes
Q : Comment vérifier rapidement si une URL est légitime ? R : Trois actions en 10 secondes : (1) regarder la racine du domaine, (2) cliquer sur le cadenas pour voir l'émetteur du certificat, (3) cliquer sur un lien marginal du menu pour voir s'il fonctionne.
Q : Une YubiKey protège-t-elle contre tous les phishings ? R : Contre la quasi-totalité des phishings de connexion classiques, oui, car la YubiKey vérifie cryptographiquement le domaine. Elle ne protège pas contre le malware sur votre machine.
Q : VirusTotal classifie le vrai binance.com comme malveillant, est-ce normal ? R : Non. Le vrai binance.com est clean. Si plusieurs moteurs signalent un domaine prétendument Binance, c'est un faux.
Q : Combien de temps un faux site Binance reste en ligne ? R : En moyenne 3 à 14 jours avant signalement et saisie. Mais les attaquants utilisent des dizaines de domaines en rotation.
Q : L'attaquant peut-il accéder à mon compte sans le 2FA ? R : Si le 2FA est activé, non, sauf si vous l'avez fourni vous-même au faux site ou à un faux SAV. C'est pourquoi le 2FA matériel est crucial.
Q : Faut-il déclarer un phishing aux autorités françaises ? R : Oui. Signalez sur cybermalveillance.gouv.fr et déposez une plainte à la gendarmerie ou commissariat. Cela peut aider d'autres victimes.
Q : Le clonage IP-WHOIS est-il une preuve définitive ? R : Pas définitive seule, mais un domaine enregistré il y a moins de 90 jours sur un VPS bas de gamme avec WHOIS masqué est statistiquement suspect.
Q : Les faux sites apparaissent-ils en première page Google ? R : Régulièrement, via Google Ads achetés en heures creuses ou via des comptes compromis. Google retire généralement la publicité en 6 à 24 heures, mais le mal est fait.
Publié le 2026-06-21, prochaine révision 2026-09-21.