Accueil/ Tous les articles/Sécurité/Comment sécuriser votre compte Binance ? Les paramètres de sécurité essentiels

Comment sécuriser votre compte Binance ? Les paramètres de sécurité essentiels

Mis à jour le 2026-04-06 · 40 minSécurité

La protection d'un compte Binance repose sur 4 paramètres de sécurité essentiels : la double authentification Google Authenticator, le code anti-phishing, la liste blanche de retrait et la gestion des appareils. Une fois ces 4 options activées, même si votre mot de passe est compromis, les pirates ne pourront pas transférer vos actifs. Avant toute manipulation sur votre compte, veuillez vérifier votre identité sur le site officiel Binance. Téléchargez les outils d'application associés depuis l'App officielle Binance. Vous trouverez tous les accès sur la plateforme via le Centre de téléchargement. Cet article explique en détail chaque configuration, répartie en trois niveaux : "Indispensable", "Recommandé" et "Bonus".

Les méthodes courantes de piratage de compte

Avant de parler de protection, voyons comment les pirates opèrent. Le rapport annuel 2024 de Chainalysis montre les principales voies de piratage des comptes de plateformes d'échange :

Voie Proportion Méthode de défense
Sites de phishing / E-mails de phishing 42 % Code anti-phishing + vérification de domaine
Force brute (utilisation de mots de passe divulgués sur d'autres plateformes) 28 % Mot de passe unique + 2FA
Détournement de carte SIM (vol de code SMS) 14 % Google Authenticator au lieu du SMS
Cheval de Troie / Enregistreur de frappe 9 % Sécurité de l'appareil + Code anti-phishing
Ingénierie sociale (faux service client, etc.) 7 % Ne pas faire confiance aux contacts non sollicités

Si vous appliquez les bonnes mesures de défense, vous pouvez bloquer au moins 95 % des attaques. Les 5 % restants concernent généralement une intrusion profonde de l'appareil lui-même (extrêmement rare).

Indispensable : La double authentification Google Authenticator

Pourquoi ne pas utiliser le SMS 2FA

Binance propose deux méthodes de 2FA : le SMS et Google Authenticator. Google Authenticator est nettement plus sécurisé, pour plusieurs raisons :

  • Les codes SMS peuvent être volés via un détournement de carte SIM (le pirate se fait passer pour vous auprès de l'opérateur pour obtenir une nouvelle carte SIM).
  • Les codes SMS peuvent être interceptés par des employés internes de certains opérateurs (cas réels documentés dans certaines régions).
  • Les SMS peuvent subir des retards ou être perdus lors de l'itinérance internationale.
  • Google Authenticator génère des codes dynamiques localement sur l'appareil, sans aucune transmission réseau.

Étapes de configuration

  1. Cherchez Google Authenticator dans la boutique d'applications de votre téléphone et téléchargez-le (l'icône est un G gris formant un coffre-fort avec un code couleur ou similaire selon les versions).
  2. Dans l'application Binance, allez dans "Compte → Sécurité → Double authentification (2FA) → Application d'authentification".
  3. Un code QR apparaîtra ainsi qu'une chaîne alphanumérique de 16 caractères.
  4. Étape cruciale : Notez cette chaîne de caractères sur du papier (elle permet de récupérer votre 2FA si vous perdez votre téléphone).
  5. Utilisez Google Authenticator pour scanner le code QR ; un code dynamique à 6 chiffres apparaîtra dans l'application.
  6. Saisissez ce code à 6 chiffres dans l'application Binance pour finaliser l'association.

Par la suite, chaque connexion nécessitera : votre mot de passe d'e-mail + le code à 6 chiffres de Google Authenticator.

Conservation de la clé de récupération

Cette chaîne de 16 caractères est la "clé de base" (seed) de votre 2FA. Si vous perdez votre téléphone ou en changez, il suffira d'entrer cette clé dans le Google Authenticator de votre nouvel appareil pour générer le même 2FA.

⚠️ Impératif :

  • Notez-la sur du papier et gardez-en au moins 2 copies séparées.
  • Ne faites pas de capture d'écran, ne l'enregistrez pas dans un document électronique.
  • Conservez-la séparément de la phrase mnémonique de votre compte Binance (pour éviter un point de défaillance unique).

Que faire si vous n'avez pas sauvegardé la clé de récupération

Si vous perdez votre téléphone et que vous n'avez pas sauvegardé la clé de récupération, votre 2FA sera bloqué. Vous devrez suivre la procédure de "Réinitialisation du 2FA" :

  1. Sur la page de connexion de l'APP → 2FA indisponible → Soumettre une demande de réinitialisation.
  2. Fournissez une pièce d'identité + une reconnaissance faciale.
  3. Attendez la vérification manuelle (7 à 15 jours ouvrables).
  4. Une fois la demande approuvée, le 2FA sera dissocié et vous pourrez en configurer un nouveau.

Pendant cette période, le compte sera bloqué et vous ne pourrez pas trader. C'est pourquoi la "conservation de la clé de récupération" est extrêmement importante.

Indispensable : Le code anti-phishing

À quoi sert le code anti-phishing

Le code anti-phishing (Anti-Phishing Code) est une chaîne de caractères que vous définissez vous-même. Une fois activé, tous les e-mails officiels que Binance vous enverra afficheront cette chaîne en haut de l'e-mail.

L'effet :

  • Si vous recevez un e-mail de "notification Binance" sans ce code → C'est 100 % un faux e-mail.
  • Si ce code est présent → C'est à 99,9 % un vrai e-mail (à moins que le pirate connaisse votre code anti-phishing et puisse forger l'e-mail).

Les e-mails de phishing usurpent souvent l'identité de l'expéditeur officiel de Binance pour vous inciter à cliquer sur des liens malveillants. Le code anti-phishing est le moyen le plus simple de les identifier.

Étapes de configuration

  1. Allez dans "Compte → Sécurité → Code anti-phishing".
  2. Saisissez la chaîne de caractères que vous souhaitez définir (combinaison alphanumérique de 4 à 20 caractères).
  3. Choisissez une chaîne dont vous vous souviendrez mais qui ne révèle pas votre identité, par exemple Cafe2024, CoucherSoleil_QX.
  4. N'utilisez pas : votre propre nom, numéro de téléphone, date de naissance, ou un mot de passe facile à deviner.
  5. Il est effectif immédiatement après la soumission.

Vérification après configuration

Une fois la configuration terminée, Binance enverra immédiatement un e-mail de test, et la chaîne que vous avez définie s'affichera en haut de l'e-mail. Si elle apparaît, la configuration a réussi.

Par la suite, prêtez attention à tous les e-mails "Binance" que vous recevez. S'ils ne contiennent pas cette chaîne, supprimez-les immédiatement et ne cliquez sur aucun lien.

Indispensable : La liste blanche de retrait

Le rôle de la liste blanche

La liste blanche de retrait est une fonction de sécurité avancée de Binance. Une fois activée, vous ne pouvez retirer des fonds que vers les adresses que vous avez préalablement spécifiées. Toute autre adresse sera bloquée, même si vous la saisissez.

Scénario de défense : Lorsqu'un pirate s'empare de votre compte et de votre 2FA, la première chose qu'il fait est de changer le mot de passe et de retirer les fonds. Si la liste blanche est activée, le pirate devra d'abord ajouter sa propre adresse à la liste blanche, et l'ajout à la liste blanche nécessite une période de refroidissement de 24 à 48 heures — vous laissant largement le temps de remarquer l'anomalie et de geler votre compte.

Étapes de configuration

  1. Allez dans "Portefeuille → Retrait → Gestion des adresses de retrait → Carnet d'adresses".
  2. Activez l'interrupteur "Activer la liste blanche" situé en haut.
  3. Le système vous demandera une vérification 2FA avant l'activation.
  4. Ajoutez vos adresses de retrait habituelles :
    • L'adresse de votre propre portefeuille matériel (par exemple, Ledger).
    • L'adresse de votre propre portefeuille Web3.
    • L'adresse de réception d'un ami ou d'un proche de confiance.
  5. Chaque adresse nécessite une étiquette (un nom personnalisé pour l'identifier facilement).

Le délai de refroidissement pour l'ajout de nouvelles adresses

Après l'activation de la liste blanche :

  • Ajouter une nouvelle adresse → Vérification par e-mail + 2FA → Début de la période de refroidissement de 24 à 48 heures.
  • Impossible d'utiliser cette adresse pour des retraits pendant la période de refroidissement.
  • L'adresse ne devient officiellement utilisable qu'après la fin de la période de refroidissement.

Ce délai peut sembler fastidieux, mais c'est précisément ce qui a sauvé d'innombrables comptes. Les pirates n'attendront pas 24 heures — ils abandonneront immédiatement pour cibler d'autres comptes sans liste blanche.

Recommandé : Gestion des appareils et alertes de connexion inhabituelle

Activer la gestion des appareils

Dans "Compte → Sécurité → Gestion des appareils", vous pouvez voir tous les appareils qui se sont connectés à votre compte :

  • Type d'appareil (iPhone / Android / PC).
  • IP de connexion et emplacement géographique.
  • Date de la dernière connexion.
  • Statut actuel de connexion en ligne.

Vérifiez-les : S'agit-il bien uniquement de vos propres appareils ? Si vous voyez un appareil inconnu, cliquez immédiatement sur "Supprimer" pour le déconnecter, puis modifiez immédiatement votre mot de passe.

Activer les notifications de connexion

Dans "Compte → Préférences de notification → Connexion inhabituelle" :

  • Notification par e-mail : Activée.
  • Notification dans l'application : Activée.
  • Notification par SMS : Facultatif.

Ainsi, toute connexion à partir d'un nouvel appareil vous sera immédiatement notifiée. Si vous recevez une notification alors que vous n'êtes pas en train de vous connecter, procédez immédiatement comme suit :

  1. Modifiez votre mot de passe.
  2. Réinitialisez votre 2FA.
  3. Déconnectez l'appareil inconnu.
  4. Vérifiez l'activité récente du compte pour repérer d'éventuelles transactions suspectes.

Recommandé : Mot de passe d'opération et double vérification par e-mail

Configurer le mot de passe d'opération

Binance propose un "mot de passe d'opération" (indépendant du mot de passe de connexion), utilisé pour les opérations sensibles :

  • Retraits.
  • Modification des paramètres de sécurité.
  • Création de clé API.

Allez dans "Compte → Sécurité → Mot de passe de transfert/d'opération" pour le configurer. Ce mot de passe doit être différent de votre mot de passe de connexion afin d'augmenter la difficulté de piratage pour l'attaquant.

Double confirmation par e-mail pour les montants importants

Lorsque le montant d'un retrait dépasse un seuil prédéfini, Binance exige une double confirmation par e-mail (en plus du 2FA).

Allez dans "Compte → Sécurité → Confirmation de retrait" et activez le commutateur "Confirmation par e-mail". De cette façon, tout retrait nécessite de cliquer sur un lien reçu par e-mail pour être exécuté — le pirate devra également pirater votre boîte e-mail pour réussir à voler vos cryptos.

Bonus : Portefeuille matériel et diversification des actifs

Utiliser un portefeuille matériel pour les montants importants

Si vous détenez une quantité importante de cryptomonnaies sur le long terme (par exemple, plus de six mois de salaire), il est recommandé de les transférer vers un portefeuille matériel :

  • Ledger Nano S Plus : Environ 79 $, prend en charge plus de 5000 devises.
  • Ledger Nano X : Environ 149 $, se connecte au téléphone via Bluetooth, prend en charge plus de 5000 devises.
  • Trezor Model T : Environ 219 $, firmware open source, écran tactile.

Les clés privées d'un portefeuille matériel ne sont jamais connectées à Internet. Même si un pirate prend le contrôle de votre ordinateur, il ne pourra pas voler vos actifs.

Diversification des actifs

Ne mettez pas tous vos œufs dans le même panier :

  • Trading quotidien : Laissez-les sur le compte Binance (environ 10 à 20 % des actifs totaux).
  • Détention à moyen/long terme : Transférez-les vers votre propre portefeuille Web3 (30 à 40 %).
  • Thésaurisation à long terme : Transférez-les vers un portefeuille matériel (40 à 60 %).

Ainsi, même si votre compte Binance est compromis, vous ne perdrez qu'une partie de vos actifs ; les actifs sur un portefeuille matériel sont presque impossibles à voler à distance.

Bonus : Sécurité de la clé API

Si vous utilisez des API pour le trading automatique, la sécurité de votre clé API est d'une importance capitale :

Précautions lors de la création d'une clé API

  • Lier une liste blanche d'IP : Autorisez uniquement l'IP de votre serveur à appeler l'API.
  • Désactiver la permission de retrait : Sauf si votre activité l'exige absolument, n'accordez pas d'autorisation de retrait à la clé API.
  • Désactiver la permission de transfert : N'activez les autorisations de transfert sur marge/contrats à terme que si nécessaire.
  • Rotation régulière : Supprimez l'ancienne clé et générez-en une nouvelle tous les 3 à 6 mois.

Que faire en cas de fuite de clé API

Si vous découvrez que votre clé API a fuité (commit accidentel sur GitHub, volée par un cheval de Troie, etc.) :

  1. Supprimez immédiatement la clé dans "Compte → Gestion des API".
  2. Vérifiez le journal des appels d'API des 30 derniers jours.
  3. Si vous constatez des appels anormaux, gelez immédiatement votre compte et contactez le support client.

Ce qu'il ne faut pas faire

À ne jamais faire

  • ❌ N'utilisez pas le même mot de passe pour plusieurs plateformes de cryptomonnaies (une fuite et tout est compromis).
  • ❌ Ne faites pas de capture d'écran de la clé de récupération 2FA pour la conserver dans la galerie photo de votre téléphone.
  • ❌ Ne stockez pas votre phrase mnémonique sur un appareil électronique.
  • ❌ Ne répondez pas aux appels entrants non sollicités d'un "service client Binance" pour suivre leurs instructions.
  • ❌ Ne cliquez pas sur les liens présents dans les e-mails "Binance" pour vous connecter à votre compte (connectez-vous toujours à partir de vos favoris).
  • ❌ Ne manipulez pas votre compte sur un réseau Wi-Fi public.
  • ❌ Ne saisissez pas votre compte et votre mot de passe sur un ordinateur non fiable.
  • ❌ Ne donnez à personne (y compris à vos proches) votre phrase mnémonique.

À utiliser avec précaution

  • ⚠️ Le SMS 2FA (privilégiez Google Authenticator).
  • ⚠️ Le remplissage automatique des mots de passe du navigateur (facile à voler par les sites de phishing).
  • ⚠️ L'importation de la phrase mnémonique du compte Binance dans un portefeuille tiers (le compte Binance n'a pas de phrase mnémonique, tout site "Binance" vous demandant d'en entrer une est obligatoirement faux).
  • ⚠️ Les "outils de gestion de compte" tiers.

Liste de contrôle de sécurité

Prenez 10 minutes par mois pour effectuer cette auto-vérification :

  • [ ] Il n'y a pas d'appareil inconnu dans la liste des appareils.
  • [ ] L'historique des connexions récentes ne montre que vous.
  • [ ] Toutes les adresses de la liste blanche de retrait vous sont familières.
  • [ ] L'application Google Authenticator est fonctionnelle.
  • [ ] Le papier contenant la clé de récupération 2FA est toujours dans votre coffre-fort.
  • [ ] Vous vous souvenez clairement de votre code anti-phishing.
  • [ ] Le mot de passe de votre messagerie électronique n'est pas partagé avec d'autres plateformes.
  • [ ] Votre messagerie électronique possède également l'authentification 2FA activée.
  • [ ] Les montants importants d'actifs ont été transférés sur un portefeuille matériel.
  • [ ] Votre mot de passe d'opération est différent de votre mot de passe de connexion.

En 10 minutes, la sécurité de votre compte reste à un niveau professionnel.

Questions fréquentes

Q : Mon compte peut-il toujours être piraté après l'activation du 2FA ? R : Dans de très rares cas, oui. La méthode courante est l'attaque de l'homme du milieu, où un site de phishing vous demande d'entrer votre mot de passe ainsi que votre code 2FA. La parade consiste à vous connecter uniquement depuis vos favoris et à bien vérifier le nom de domaine dans la barre d'adresse.

Q : Si je perds mon téléphone, puis-je encore utiliser Google Authenticator ? R : Téléphone perdu = 2FA de cet appareil inactif. Si vous avez copié la clé de récupération au préalable, il suffit de l'entrer dans le Google Authenticator de votre nouveau téléphone pour continuer. Si vous ne l'avez pas copiée, vous devrez lancer une procédure de réinitialisation du 2FA.

Q : Le code anti-phishing peut-il être modifié ? R : Oui. Allez simplement dans "Compte → Sécurité → Code anti-phishing" pour le reconfigurer. Il est conseillé de le changer tous les 6 à 12 mois.

Q : La période de refroidissement de la liste blanche peut-elle être contournée ? R : Non. Il s'agit d'une restriction forte par conception, qui fait précisément sa valeur de sécurité. Si vous devez retirer en urgence vers une nouvelle adresse, ajoutez-la à la liste blanche 48 heures à l'avance.

Q : Désactiver les autorisations de retrait d'une clé API est-il totalement sûr ? R : Il faut toujours rester vigilant. Même sans autorisation de retrait, une clé API peut toujours passer des ordres. Un attaquant peut drainer les fonds par du "wash trading" (placer simultanément des ordres d'achat à prix élevé et de vente à bas prix sur une petite cryptomonnaie qu'il contrôle). La sécurité ultime reste la liste blanche d'IP et une rotation régulière.

Q : Quelle est la gravité d'un piratage de ma boîte e-mail ? R : Très grave. L'e-mail est l'un des principaux moyens de connexion à votre compte Binance. Un attaquant qui a accès à votre e-mail peut déclencher la procédure de "Mot de passe oublié" pour réinitialiser votre mot de passe. C'est pourquoi votre e-mail doit impérativement avoir le 2FA activé et un mot de passe unique.

Q : Comment choisir un portefeuille matériel ? R : Pour les débutants, le Ledger Nano S Plus (le meilleur rapport qualité-prix) est recommandé. Pour de l'open source, choisissez le Trezor Model T. Si vous souhaitez une connexion Bluetooth avec votre téléphone, optez pour le Ledger Nano X. Achetez toujours via les canaux officiels, jamais d'occasion ni dans des boutiques tierces.

Q : Les opérations seront-elles trop fastidieuses une fois tous les paramètres activés ? R : Les opérations quotidiennes se résument à entrer un code 2FA lors de la connexion (cela prend 5 secondes). Le reste ne change pas. L'attente de 24 heures pour un retrait vers une nouvelle adresse peut paraître gênante, mais cette opération n'arrive généralement qu'une fois par mois. Cette petite gêne offre une véritable sécurité, ce qui en vaut largement la peine.

Résumé

Le cœur de la prévention contre le vol de compte Binance repose sur 4 mesures indispensables : l'authentification 2FA Google Authenticator (en remplacement du SMS), le code anti-phishing, la liste blanche de retrait (délai de refroidissement de 24 à 48 heures), ainsi que la gestion des appareils et les notifications de connexion anormale. La configuration prend environ 30 minutes et couvre plus de 95 % des voies d'attaque. Protégez vos actifs importants avec un portefeuille matériel pour un isolement physique, et ajoutez une liste blanche d'IP pour vos clés API (si vous les utilisez) pour obtenir une configuration de sécurité de niveau professionnel. Avec une auto-vérification mensuelle de 10 minutes, il sera quasiment impossible de pirater votre compte.