Vérifier le certificat SSL Binance : Identifier le vrai site officiel
Apprenez à vérifier le certificat HTTPS de Binance pour éviter le phishing. Guide pratique sur l'inspection du cadenas du navigateur et des détails du certificat SSL.
L'orthographe d'une URL peut être facilement imitée par un site malveillant, mais un certificat TLS est bien plus difficile à falsifier. Jeter un œil au certificat avant d'accéder au site officiel de Binance est le moyen le plus rapide de vérifier son authenticité. Il est également conseillé d'effectuer cette vérification lors du téléchargement de l'application officielle Binance (voir le tutoriel d'installation iOS).
Qu'est-ce qu'un certificat ?
Un certificat HTTPS est un titre numérique qui contient :
- Le sujet (le nom de domaine du site).
- L'émetteur (l'autorité de certification ou CA qui l'a signé).
- La période de validité.
- La clé publique.
- La signature numérique.
Lorsque votre navigateur reçoit le certificat, il vérifie la signature auprès de la CA et s'assure que le domaine correspond. Si tout est correct, le petit cadenas s'affiche.
Comprendre le certificat Binance en 3 secondes
Sur Google Chrome
- Cliquez sur le cadenas à gauche de la barre d'adresse.
- Choisissez « La connexion est sécurisée ».
- Cliquez sur « Le certificat est valide ».
- Vérifiez les quatre points dans la fenêtre contextuelle.
Un certificat valide doit afficher :
| Champ | Valeur attendue |
|---|---|
| Délivré à (Sujet) | *.binance.com ou www.binance.com |
| Délivré par (Émetteur) | DigiCert / Cloudflare / Sectigo, etc. |
| Validité | Date du jour comprise dans la période |
| Correspondance | L'URL actuelle est couverte par le certificat |
Si l'un de ces éléments est incorrect, ne vous connectez pas.
Sur Safari
Cadenas dans la barre d'adresse → Afficher le certificat.
Sur Firefox
Cadenas → Connexion sécurisée → Plus d'informations → Afficher le certificat.
Sur Microsoft Edge
Identique à Chrome.
Hiérarchie du certificat
Le certificat de Binance repose sur une structure à trois niveaux :
- Certificat Racine : Intégré nativement dans votre navigateur ou système.
- Certificat Intermédiaire : Type DigiCert Global G2.
- Certificat Final : Celui délivré à
*.binance.com.
Le navigateur vérifie automatiquement toute la chaîne. Si le certificat intermédiaire ou final est altéré, la chaîne est brisée.
À quoi ressemble le certificat d'un site frauduleux ?
Voici les méthodes courantes utilisées par les pirates :
1. Certificat gratuit + Nom de domaine proche
Un service comme Let's Encrypt peut délivrer un certificat pour binance-app.com. Cependant, le sujet indiquera binance-app.com et non binance.com. Le panneau de certificat permet de déceler la supercherie instantanément.
2. Certificat auto-signé
Le site vous demande d'ignorer l'avertissement de sécurité du navigateur pour continuer. N'entrez jamais vos identifiants sur une telle page.
3. Certificat d'interception (MITM)
Dans certains réseaux d'entreprise ou d'école, un certificat d'interception SSL peut être installé. Le navigateur affichera alors « Émetteur : Nom de l'entreprise ». Évitez de vous connecter à des sites financiers dans cet environnement.
4. Usurpation de certificat EV
Autrefois, Binance utilisait des certificats EV (barre d'adresse verte avec le nom de l'entreprise). Aujourd'hui, les navigateurs ne différencient plus visuellement les certificats EV ; l'absence de "vert" n'est donc plus un critère de jugement.
Vérifications avancées
Empreinte du certificat
Chaque certificat possède une empreinte SHA-256 unique (une chaîne hexadécimale). Vous pouvez noter l'empreinte du vrai certificat Binance via des outils comme SSL Labs (ssllabs.com). Si l'empreinte change brusquement en dehors des périodes de renouvellement, soyez vigilant.
Journaux Certificate Transparency (CT)
Les journaux CT enregistrent publiquement tous les certificats délivrés. Si un pirate génère secrètement un certificat pour un domaine, cela laisse une trace. C'est une vérification complexe, plutôt réservée aux chercheurs en sécurité.
HSTS
Le domaine principal de Binance impose le HSTS (HTTP Strict Transport Security). Toute tentative d'accès via HTTP est automatiquement bloquée par le navigateur. Si vous arrivez à ouvrir « binance.com » en HTTP, ce n'est pas le vrai site.
Comment vérifier le certificat sur mobile ?
iOS Safari
L'icône « AA » → Réglages du site. iOS Safari ne montre pas directement les détails techniques, mais il bloque les certificats invalides. Pour plus de détails, utilisez Chrome sur iOS.
Android Chrome
Cadenas → Connexion sécurisée → Détails du certificat.
Application Mobile
L'application n'utilise pas de navigateur classique. Elle possède son propre mécanisme de « SSL Pinning » : si le certificat du serveur ne correspond pas, l'application refuse tout simplement de se connecter. L'application est donc intrinsèquement plus sûre.
Types d'avertissements de certificat du navigateur
| Avertissement | Signification | Action |
|---|---|---|
| NET::ERR_CERT_AUTHORITY_INVALID | Certificat non reconnu | Fermer la page |
| NET::ERR_CERT_DATE_INVALID | Certificat expiré ou heure système fausse | Vérifier l'heure puis fermer |
| NET::ERR_CERT_COMMON_NAME_INVALID | Domaine ne correspond pas au certificat | Site de phishing, fermer |
| NET::ERR_CERT_REVOKED | Certificat révoqué | Fermer |
| ERR_SSL_PROTOCOL_ERROR | Échec du protocole TLS | Problème réseau ou navigateur |
Ne cliquez jamais sur « Continuer vers le site » en présence d'un avertissement.
FAQ
Q : Puis-je demander au navigateur d'ignorer un avertissement pour toujours ? R : Techniquement oui, mais c'est extrêmement dangereux. Vous ne seriez plus averti en cas de menace réelle.
Q : Quelle est la durée de validité d'un certificat ? R : Généralement de 90 jours à 1 an. Binance renouvelle ses certificats de manière transparente.
Q : HTTPS signifie-t-il que le site est 100 % sûr ? R : Non. Le HTTPS garantit que votre communication est cryptée, mais il ne garantit pas que le serveur appartient à Binance. D'où l'importance de vérifier le "Sujet" du certificat.
Q : Qu'est-ce qu'un certificat auto-signé ? R : Un certificat généré par le propriétaire du site sans validation d'une autorité reconnue. Aucun site financier sérieux n'utilise cela.
Lectures complémentaires
La vérification du certificat est bien plus fiable que la simple lecture de l'URL. Prenez l'habitude de cliquer sur le cadenas : les sites de phishing ne pourront plus vous piéger.