Liste d'autocontrôle de sécurité Binance : 12 réglages indispensables
Passez en revue ces 12 réglages de sécurité pour bloquer 95 % des attaques de phishing, de credential stuffing et d'abus d'API. Cet article propose un ordre d'exécution par niveau de risque.
La majorité des vols de comptes Binance proviennent d'une négligence sur des détails. Avant de commencer, assurez-vous d'être sur le vrai site officiel Binance. Téléchargez l' application officielle Binance (consultez le tutoriel d'installation iOS pour iPhone) et suivez ces 12 points d'autocontrôle.
Tableau d'autocontrôle (par priorité)
| # | Élément | Niveau de risque | Temps estimé |
|---|---|---|---|
| 1 | E-mail indépendant + Mot de passe fort | Élevé | 5 min |
| 2 | Authenticator + Code de sauvegarde | Élevé | 5 min |
| 3 | Passkey ou clé matérielle (YubiKey) | Élevé | 10 min |
| 4 | Code anti-phishing | Élevé | 1 min |
| 5 | Liste blanche de retrait | Élevé | 5 min |
| 6 | Gestion des appareils | Moyen | 2 min |
| 7 | Audit des API | Moyen | 5 min |
| 8 | Permissions des sous-comptes | Moyen | 5 min |
| 9 | Autorisations tierces | Moyen | 3 min |
| 10 | Règles de filtrage e-mail | Moyen | 2 min |
| 11 | Audit des extensions navigateur | Faible | 5 min |
| 12 | Mise à jour du système d'exploitation | Faible | 30 min |
Comptez environ 1 heure au total. Nous vous conseillons d'effectuer ce contrôle une fois par mois.
1. Adresse e-mail
L'e-mail est le point vital de votre compte Binance. Si votre boîte mail est compromise, votre compte est à moitié perdu.
Exigences :
- Utilisez une adresse e-mail dédiée, servant uniquement à Binance et à vos actifs crypto.
- Mot de passe de plus de 16 caractères (majuscules, minuscules, chiffres, symboles).
- Activez la 2FA sur la boîte mail elle-même.
- Évitez les e-mails d'école ou d'entreprise (supprimés après votre départ).
2. Google Authenticator
Lors de l'activation, veillez à :
- Enregistrer une capture d'écran de la clé de secours à 16 chiffres.
- La recopier sur un papier conservé hors ligne.
- L'installer sur deux téléphones différents si possible.
Cela évite des procédures fastidieuses en cas de perte de téléphone.
3. Passkey ou clé matérielle
Les clés YubiKey, Titan Key ou le Passkey Apple sont des 2FA physiques ou système, bien plus résistants au phishing que les codes TOTP classiques.
Allez dans : Binance → Sécurité → Passkey → Ajouter. C'est un investissement sécurité majeur.
4. Code anti-phishing
Le code anti-phishing est une chaîne de caractères personnalisée jointe à chaque e-mail envoyé par Binance. Si vous définissez « Mon chat s'appelle Pixel », tous les vrais e-mails contiendront cette phrase. Un faux e-mail ne l'aura pas.
Configuration : Sécurité → Code anti-phishing → Saisissez une chaîne unique.
5. Liste blanche de retrait
Activez l'option « Autoriser uniquement les adresses de la liste blanche » et ajoutez vos adresses de portefeuilles habituels. Même en cas d'intrusion, l'attaquant ne pourra envoyer les fonds que vers vos propres portefeuilles.
Notez qu'il y a un délai de carence de 24 heures pour tout nouvel ajout d'adresse.
6. Gestion des appareils
Sécurité → Gestion des appareils. Supprimez les appareils inutilisés :
- Anciens téléphones.
- Ordinateurs d'amis utilisés ponctuellement.
- Ordinateurs professionnels rendus.
Ne conservez que les 2 ou 3 appareils que vous utilisez quotidiennement.
7. Audit des API
API → Gestion → Liste de toutes les clés API. Pour chaque clé, vérifiez :
- Est-elle toujours utile ? Sinon, supprimez-la.
- Les permissions sont-elles minimales ? (Futures et retraits désactivés par défaut).
- L'adresse IP est-elle liée à une liste blanche ?
8. Permissions des sous-comptes
Si vous utilisez des sous-comptes pour isoler vos stratégies, vérifiez que :
- La fonction de retrait est désactivée.
- Les permissions API sont indépendantes.
- L'e-mail lié est sécurisé.
9. Autorisations tierces
Dans la liste des applications tierces autorisées via OAuth, supprimez :
- Les plateformes de copy trading inutilisées.
- Les bots de trading de test.
- Les anciennes applications mobiles désinstallées.
10. Règles de filtrage e-mail
Les pirates créent souvent des règles de transfert dans votre boîte mail pour détourner discrètement les e-mails d'alerte de Binance.
Allez dans les réglages de votre boîte mail → Filtres → Vérifiez toutes les règles et supprimez tout transfert ou suppression automatique suspect.
11. Audit des extensions navigateur
Les extensions sont des portes d'entrée courantes pour le vol de mots de passe. Examinez celles que vous avez installées :
- Y a-t-il des versions contrefaites d'extensions populaires ?
- Le nombre d'avis et de téléchargements est-il cohérent ?
- Les permissions demandées sont-elles raisonnables ?
Supprimez immédiatement toute extension inutile.
12. Mise à jour du système d'exploitation
Les failles des systèmes obsolètes sont exploitées par des logiciels malveillants pour capturer vos frappes clavier (keyloggers) ou vos mots de passe. Gardez Windows, macOS, Android et iOS à jour. Activez la protection en temps réel de votre antivirus.
Recommandations pour les comptes à forte valeur
Si vos actifs dépassent 10 000 USD, nous vous suggérons ces mesures supplémentaires :
| Mesure | Description |
|---|---|
| Portefeuille froid (Cold Wallet) | Gardez le gros de vos fonds hors ligne, ne laissez sur l'échange que ce que vous tradez. |
| Passkey multi-dispositifs | Utilisez un jeu de deux clés matérielles (principale + secours). |
| Séparation des comptes bancaires | Dédiez une carte/compte bancaire uniquement aux flux vers l'échange. |
| Ordinateur dédié aux e-mails | Connectez-vous à votre boîte mail sécurisée uniquement depuis une machine « propre ». |
| Autocontrôle mensuel | Intégrez ces 12 points dans votre calendrier mensuel. |
Procédure d'urgence en cas de piratage
- Changez immédiatement votre mot de passe.
- Réinitialisez votre 2FA.
- Révoquez toutes les clés API.
- Nettoyez la liste blanche d'adresses de retrait.
- Contactez le support pour geler les actifs.
- Rassemblez les preuves et soumettez un ticket à Binance.
- Déposez plainte auprès des autorités.
Le temps est précieux : les 2 premières heures sont cruciales. Au-delà de 24 heures, les fonds sont souvent impossibles à récupérer.
Foire aux questions (FAQ)
Q : Que faire si je perds ma clé matérielle ? R : Utilisez votre clé de secours ou suivez la procédure de récupération via e-mail + vérification d'identité. C'est pourquoi il est vital d'en lier deux.
Q : Est-il sûr d'utiliser un gestionnaire de mots de passe ? R : Des outils audités comme 1Password ou Bitwarden sont sûrs, à condition que votre mot de passe maître soit extrêmement robuste.
Q : Puis-je utiliser Binance sur un WiFi public ? R : Le risque est élevé. Privilégiez la 4G/5G ou votre WiFi privé pour les opérations sensibles.
Q : Que faire si mon téléphone est volé ? R : Verrouillez l'appareil à distance, faites opposition à votre carte SIM et connectez-vous immédiatement sur PC pour révoquer l'accès de l'appareil volé sur Binance.
Q : Le code anti-phishing peut-il être identique à mon mot de passe ? R : Absolument pas. Le code anti-phishing apparaît en clair dans les e-mails, il ne doit jamais être un mot de passe.
Lectures complémentaires
La sécurité n'est pas une action ponctuelle, c'est une habitude mensuelle. En suivant ces 12 points régulièrement, votre compte sera plus sûr que celui de 99 % des utilisateurs.