Comment sécuriser votre compte Binance ? Un guide sur 2FA et les clés de sécurité.

Comprendre l'authentification à deux facteurs sur Binance

1. Binance applique l'authentification à deux facteurs (2FA) comme couche obligatoire pour l'accès au compte après l'enregistrement initial.

2. Les utilisateurs peuvent choisir entre Google Authenticator, Authy ou 2FA basé sur SMS – bien que les SMS soient fortement déconseillés en raison des vulnérabilités d'échange de carte SIM.

3. Les mots de passe à usage unique (TOTP) générés par les applications d'authentification sont actualisés toutes les 30 secondes et sont liés cryptographiquement à l'appareil et à la clé secrète de l'utilisateur.

4. Chaque TOTP n'est valable qu'une seule fois et expire immédiatement après son utilisation ou après la fermeture de la fenêtre de 30 secondes.

5. La désactivation de 2FA nécessite une confirmation par e-mail et une période d'attente, empêchant toute désactivation non autorisée pendant les sessions actives.

Configuration des clés de sécurité matérielles

1. Binance prend en charge les clés de sécurité compatibles FIDO U2F et WebAuthn telles que YubiKey 5 Series, OnlyKey et Nitrokey.

2. L'enregistrement implique d'insérer la clé pendant le processus de configuration et d'appuyer sur son bouton pour terminer l'attestation cryptographique.

3. Contrairement à TOTP, les clés de sécurité effectuent une cryptographie à clé publique : aucun secret partagé n'est stocké sur les serveurs Binance ni transmis sur le réseau.

4. Chaque tentative de connexion déclenche une interaction physique : les utilisateurs doivent insérer et appuyer sur la clé, bloquant ainsi le phishing à distance et les attaques de l'homme du milieu.

5. Plusieurs clés peuvent être enregistrées simultanément, permettant la redondance sans compromettre la sécurité de la clé primaire.

Gérer les options de récupération de manière responsable

1. Binance fournit une phrase de sauvegarde de 16 mots lors de l'enregistrement de la clé de sécurité : cette phrase est nécessaire pour restaurer l'accès si toutes les clés sont perdues.

2. La phrase de récupération ne doit jamais être saisie sur des sites Web, partagée via le chat ou stockée numériquement ; les sauvegardes papier doivent être conservées dans des conteneurs inviolables et ignifuges.

3. La liste blanche des adresses e-mail et de retrait sert de protection secondaire : toute nouvelle adresse nécessite un délai de confirmation de 24 heures, sauf autorisation préalable.

4. La gestion des appareils permet aux utilisateurs d'afficher, de nommer et de révoquer les sessions actives à partir d'emplacements ou de navigateurs non reconnus.

5. Les autorisations des clés API sont strictement limitées : les droits de retrait sont désactivés par défaut et nécessitent une autorisation distincte avec vérification 2FA.

Reconnaître et éviter les tentatives de phishing

1. Les domaines officiels Binance se terminent exclusivement par binance.com — des variantes comme binance-support.net ou binance-login.org sont malveillantes.

2. Les e-mails légitimes ne demandent jamais de mots de passe, de codes 2FA ou de phrases de récupération ; tout message les demandant est frauduleux.

3. Les barres d'adresse du navigateur doivent afficher une icône de verrouillage vérifié et afficher https://www.binance.com sans redirections ni obscurcissement de sous-domaine.

4. Les fausses applications mobiles imitent l'interface Binance mais manquent de validation de signature numérique : installez-les uniquement à partir de Google Play Store ou d'Apple App Store en utilisant les informations d'identification officielles du développeur.

5. Les pop-ups suspects annonçant une « alerte de sécurité » ou une « session expirée » qui invitent à ressaisir les informations d'identification sont des indicateurs de scripts de navigateur injectés ou d'extensions compromises.

Foire aux questions

Q : Puis-je utiliser simultanément TOTP et une clé matérielle ? R : Oui. Binance permet à plusieurs méthodes 2FA d'être actives. Lors de la connexion, les utilisateurs peuvent sélectionner la méthode à utiliser (TOTP ou clé de sécurité) offrant une flexibilité sans réduire la protection.

Q : Que se passe-t-il si ma YubiKey cesse de fonctionner ? R : Si vous avez enregistré une clé de sauvegarde ou enregistré votre phrase de récupération de 16 mots, vous pouvez réinscrire un nouvel appareil. Sans cela, la récupération du compte nécessite une vérification d'identité via le canal d'assistance de Binance, ce qui peut prendre plusieurs jours ouvrables.

Q : L'activation de la liste blanche des adresses de retrait empêche-t-elle tous les transferts non autorisés ? R : Il empêche les retraits vers des adresses non approuvées, mais ne bloque pas les transferts internes vers d'autres comptes Binance. Des contrôles supplémentaires tels que les restrictions des clés API et les codes anti-phishing limitent davantage l'exposition.

Q : Pourquoi Binance exige-t-il une vérification des e-mails même lors de l'utilisation d'une clé de sécurité ? R : Le courrier électronique sert de canal hors bande pour les actions critiques telles que la réinitialisation de mots de passe, les demandes de désactivation de 2FA et les notifications de conformité réglementaire. Il complète mais ne remplace pas l'authentification cryptographique.