Comment vérifier l'empreinte du certificat officiel de Binance ? Mesures anti-phishing

Même si le nom de domaine et la page se ressemblent à s'y méprendre, un certificat ne peut pas être falsifié — c'est la dernière ligne de défense pour vérifier l'authenticité du site officiel de Binance. Ces notes expliquent comment afficher le certificat SSL de binance.com dans votre navigateur, comparer son empreinte et utiliser les journaux de transparence des certificats (Certificate Transparency ou CT) pour une double vérification. Pour accéder à l'entrée officielle, ouvrez le Site officiel Binance ; pour télécharger l'application, utilisez l'App officielle Binance ; les utilisateurs d'iPhone peuvent consulter le Tutoriel d'installation iOS.

Qu'est-ce qu'un certificat et pourquoi aide-t-il contre le phishing ?

Un certificat SSL agit comme une « carte d'identité » portant le sceau d'un tiers. Il est émis par une Autorité de Certification (CA) pour attester que : « le serveur détenant ce certificat est bien le serveur du nom de domaine qu'il prétend être ». Avant de l'émettre, la CA vérifie que le demandeur contrôle réellement le nom de domaine. Les acteurs malveillants ne peuvent pas obtenir un certificat valide pour binance.com. Ainsi, les sites frauduleux sont contraints de :

• Utiliser un certificat auto-signé (le navigateur affichera un avertissement rouge).
• Utiliser Let's Encrypt pour signer un certificat pour un domaine similaire (par exemple, binance-cn.com), en se faisant passer pour « un domaine similaire légitime en HTTPS ».
• Ne pas activer HTTPS du tout, et utiliser HTTP avec du texte pour faire illusion.

Quelle que soit la méthode utilisée, un simple coup d'œil au certificat suffit pour les démasquer.

Vérifier le certificat sur Chrome / Edge

1. Ouvrez binance.com et attendez que la page se charge complètement.
2. Cliquez sur l'icône de cadenas (ou sur le bouton « Afficher les informations sur le site ») à gauche de la barre d'adresse.
3. Sélectionnez « La connexion est sécurisée » → « Le certificat est valide ».
4. Dans la visionneuse de certificats qui s'ouvre, regardez le champ « Délivré à » et l'« Empreinte numérique ».

Les informations correctes du certificat doivent inclure :

Tant que le champ O (Organisation) indique Binance Holdings Limited, vous pouvez pratiquement confirmer qu'il s'agit du site officiel.

Vérifier le certificat sur Safari

L'opération est légèrement différente sur Safari pour macOS :

1. Cliquez sur l'icône de cadenas dans la barre d'adresse, puis choisissez « Afficher le certificat ».
2. Dans le panneau du certificat, développez la section « Détails ».
3. Faites défiler jusqu'en bas pour voir l'empreinte SHA-256.
4. Comparez-la avec les enregistrements publics.

Safari sur iOS n'affiche pas directement l'empreinte du certificat. Vous devrez utiliser une application tierce (comme SSL Checker) ou exporter un fichier .pem pour l'analyser.

Vérification de l'empreinte SHA-256

L'empreinte du certificat est une chaîne de 64 caractères hexadécimaux, semblable à un numéro de carte d'identité. Le certificat du domaine principal de Binance est renouvelé au moins une fois par an, il ne faut donc pas utiliser une empreinte spécifique comme référence à long terme. Privilégiez plutôt une « comparaison synchronisée » : accédez à binance.com depuis deux appareils différents sur deux réseaux différents. Les empreintes affichées doivent être identiques. Si elles ne correspondent pas, au moins l'un des deux côtés subit une attaque de l'homme du milieu (Man-in-the-Middle).

Une méthode encore plus fiable consiste à utiliser les journaux CT pour la comparaison :

1. Allez sur crt.sh
2. Entrez binance.com dans la barre de recherche.
3. Regardez l'enregistrement de l'émission du certificat le plus récent et notez l'empreinte.
4. Vérifiez si l'empreinte affichée par votre navigateur figure dans cet enregistrement.

Les journaux CT sont publics et immuables, et tous les certificats émis par les CA du monde entier doivent y être enregistrés. Si l'empreinte affichée par votre navigateur ne figure pas dans les journaux CT, c'est soit qu'il vient d'être émis et n'est pas encore indexé (très rare), soit qu'il s'agit d'un certificat falsifié.

Vérification en ligne de commande via le terminal

Dans un terminal macOS ou Linux, vous pouvez utiliser l'outil openssl pour récupérer directement l'empreinte du certificat et la comparer. Cette méthode implique l'utilisation de la ligne de commande, les utilisateurs expérimentés peuvent consulter la documentation correspondante. Les utilisateurs Windows peuvent utiliser la série de fonctions Get-PfxCertificate de PowerShell. Cet article n'entrera pas dans les détails de la ligne de commande.

Comment vérifier sur mobile ?

Il n'est pas aussi pratique de vérifier les certificats sur le navigateur d'un téléphone mobile que sur un ordinateur de bureau. Voici deux recommandations :

• Android : Utilisez Firefox (le cadenas dans la barre d'adresse permet de voir la chaîne complète des certificats) ou Kiwi Browser.
• iOS : Utilisez Safari avec une extension d'« inspection de certificat » (comme SSL Trace) accessible via le menu de partage intégré.

Si vous ne pouvez pas voir l'empreinte complète sur la version mobile de Chrome, assurez-vous au moins que la barre d'adresse indique binance.com avec l'icône de cadenas, et qu'il n'y a aucun avertissement « Non sécurisé » ou « Certificat expiré ».

Les trois anomalies de certificat les plus courantes

Anomalie 1 : Le certificat a expiré Extrêmement rare. Binance renouvelle automatiquement ses certificats plusieurs jours avant leur expiration. Si vous voyez ce message, il est très probable que l'heure système de votre appareil soit incorrecte. Vérifiez la date de votre ordinateur.

Anomalie 2 : L'émetteur n'est pas approuvé Le navigateur affiche « Votre connexion n'est pas privée ». La raison la plus fréquente est que le réseau de votre entreprise ou de votre école intercepte le SSL, ayant installé son propre certificat racine pour déchiffrer et resigner tout le trafic HTTPS. Dans un tel environnement, ne vous connectez absolument pas à votre compte Binance, car tout le trafic est visible par un intermédiaire.

Anomalie 3 : Le nom commun ne correspond pas Le certificat est signé pour a.com mais vous accédez à b.com. Cela indique que le DNS a été détourné vers le serveur de quelqu'un d'autre. Fermez immédiatement la page.

Utiliser un gestionnaire de mots de passe comme aide

Les gestionnaires de mots de passe tels que 1Password ou Bitwarden vérifient lors du remplissage automatique si le domaine actuel correspond à celui associé à votre compte. Si la page sur laquelle vous cliquez pour vous connecter ne remplit pas automatiquement votre mot de passe, soupçonnez d'abord une tentative de phishing. Ce mécanisme est plus fiable que la reconnaissance visuelle humaine.

FAQ

Q : Si l'empreinte du certificat a changé, cela signifie-t-il que j'ai été piraté ? R : Pas nécessairement. Binance change de certificat chaque année, l'empreinte change donc aussi. Ce qu'il faut vérifier, c'est si l'organisation émettrice est bien Binance Holdings Limited.

Q : Quelle est la différence entre un certificat DV et un certificat OV ? R : Un certificat DV valide uniquement la propriété du domaine, tandis qu'un certificat OV valide également l'identité de l'organisation. Binance utilise le niveau OV.

Q : Est-il possible de figer une empreinte comme avec SSH ? R : Historiquement, les navigateurs utilisaient le mécanisme HPKP, mais il a été abandonné. La surveillance repose désormais principalement sur les journaux CT.

Q : Que faire si je ne peux pas voir l'empreinte sur mon téléphone mobile ? R : Vérifiez au moins que binance.com est présent avec le cadenas. Combiner l'utilisation de l'application officielle et du navigateur est l'approche la plus sûre.

Lectures complémentaires

• Liste pour identifier les faux domaines
• Explication sur le sous-domaine accounts pour la connexion
• Méthodes de vérification des nouveaux suffixes de domaines