Ce que les utilisateurs Android craignent le plus en téléchargeant l'APK Binance, c'est d'installer une version de phishing. La solution est en fait très simple : faites d'abord la vérification de la signature, puis connectez-vous à votre compte. Obtenez l'APK officiel depuis le Site officiel Binance, accessible directement via le lien App officielle Binance sur mobile. Les utilisateurs d'iPhone n'ont pas à se soucier de l'APK, il suffit de suivre le Guide d'installation iOS. Cet article utilise trois méthodes pour vérifier de manière croisée si un APK provient réellement de Binance.
I. Les trois caractéristiques fixes de l'APK officiel
Peu importe les mises à jour de version, l'APK officiel de Binance répond toujours aux trois caractéristiques suivantes :
- Nom de paquet (Package Name) :
com.binance.dev - Signataire (Signer) :
CN=Binance Holdings Ltd, O=Binance, ... - Empreinte SHA-256 du certificat de signature V2/V3 : une chaîne hexadécimale de 64 caractères, Binance publie l'empreinte valide actuelle dans son centre d'aide
Tout APK qui ne remplit pas ces critères n'est pas officiel. Voici comment utiliser la ligne de commande, une application mobile et la comparaison de hachage pour vérifier ces trois points.
II. Méthode 1 : Vérifier avec apksigner sur ordinateur (La plus fiable)
apksigner est l'outil officiel de vérification de signature inclus dans le SDK Android, adapté aux utilisateurs disposant d'un environnement Java.
Étapes d'installation
- Téléchargez Android SDK Command-line Tools : https://developer.android.com/studio#command-tools
- Après extraction, ajoutez
cmdline-tools/latest/binau PATH - Exécutez
sdkmanager "build-tools;34.0.0"en ligne de commande pour installer build-tools - Finalement,
apksignerapparaîtra dans le répertoirebuild-tools/34.0.0/
Commande de vérification
apksigner verify -v --print-certs Binance.apk
Exemple de sortie normale :
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Signer #1 certificate DN: CN=Binance Holdings Ltd, O=Binance, L=Malta, C=MT
Signer #1 certificate SHA-256 digest: a1b2c3...(une chaîne hexadécimale)
Trois points essentiels à regarder :
Verified using v2 scheme: trueetVerified using v3 scheme: truedoivent tous deux être à truecertificate DNdoit inclureBinance Holdings Ltd- L'empreinte SHA-256 doit correspondre à la valeur de l'annonce officielle de Binance
Si l'un de ces éléments ne correspond pas, supprimez immédiatement l'APK et ne l'installez pas.
III. Méthode 2 : Utiliser un visualiseur de signature sur mobile (La plus pratique)
Si vous avez déjà installé un APK suspect et avez la flemme d'utiliser un ordinateur, vous pouvez également vérifier la signature sur mobile. Deux applications sont recommandées :
- App Signature Checker (La version de Infinite Loop sur Google Play)
- Apk Info (Open source, disponible sur F-Droid)
Prenons Apk Info comme exemple :
- Ouvrez l'application, accordez la permission de "lire les applications installées"
- Cherchez Binance, cliquez pour entrer dans les détails
- Faites défiler vers le bas pour voir la section "Signatures"
- Le champ Subject du certificat doit afficher
Binance Holdings Ltd - L'empreinte SHA256 Fingerprint du certificat doit correspondre à la valeur de l'annonce officielle
L'avantage de la vérification sur mobile est sa rapidité (fait en 30 secondes), l'inconvénient est qu'elle dépend de la fiabilité de l'application elle-même — ces outils de vérification de signature doivent être téléchargés depuis Google Play ou F-Droid, ne les installez pas à partir de sources inconnues.
IV. Méthode 3 : Comparaison de hachage SHA-256 (La plus simple)
C'est la méthode de base pour vérifier "si le fichier a été altéré", réalisable même sans connaissances d'Android.
Obtenir le SHA-256 de l'APK
PowerShell (Windows) :
Get-FileHash Binance.apk -Algorithm SHA256
Terminal (macOS/Linux) :
shasum -a 256 Binance.apk
La sortie est une chaîne hexadécimale de 64 caractères.
Obtenir le hachage officiel publié
Connectez-vous à binance.com → Centre d'aide → Recherchez "APK hash" ou "Vérification APK". La page d'annonce officielle listera la valeur SHA-256 de la version actuelle de l'APK. Si votre hachage correspond à la valeur officielle, cela signifie que le fichier n'a pas été modifié et est l'APK original publié par Binance.
Attention : La comparaison de hachage prouve seulement que "le fichier n'a pas été modifié", elle ne prouve pas que "c'est un fichier officiel" — car le hachage change avec la version. La pratique idéale est une double sécurité : Comparaison de hachage + Vérification de signature.
V. Différents cas d'échec de la vérification de signature
Cas 1 : Le signataire n'est pas Binance Holdings Ltd
C'est le cas le plus grave — l'APK a été re-signé par quelqu'un d'autre. Même si la logique d'origine est celle de Binance, l'attaquant pourrait avoir inséré du code malveillant lors du reconditionnement (comme le piratage d'une adresse collée dans le presse-papiers, le transfert de codes 2FA). Supprimez immédiatement et changez de source de téléchargement.
Cas 2 : La signature v1 passe mais pas la v2/v3
Dans ce cas, l'APK pourrait avoir subi une attaque de vulnérabilité Janus (CVE-2017-13156), en insérant un fichier DEX supplémentaire tout en conservant la signature v1. C'est aussi une méthode de phishing, supprimez-le immédiatement également.
Cas 3 : Le SHA-256 ne correspond pas mais la signature est valide
L'explication la plus probable est que : vous avez téléchargé une ancienne version et le hachage officiel a été mis à jour. Retournez sur le site officiel de Binance pour télécharger la dernière version de l'APK, et comparez à nouveau. Si le hachage de la dernière version ne correspond toujours pas, votre processus de téléchargement a peut-être été altéré par un intermédiaire, changez de réseau ou de navigateur pour retélécharger.
Cas 4 : Le téléphone indique "Application non certifiée"
Le Play Protect d'Android 10+ effectue un scan cloud sur tous les APK nouvellement installés. S'il s'agit d'une toute nouvelle version téléchargée depuis le site officiel, il arrive parfois que Play Protect génère un faux positif car sa base de données n'a pas encore été mise à jour. Dans ce cas, vous pouvez :
- Attendre 24-48 heures que la mise à jour de Play Protect lève automatiquement l'alerte
- Ou marquer l'application comme une exception dans Play Protect
- Attention : N'ignorez pas Play Protect juste à cause d'un faux positif — si vous remarquez en même temps que la signature a un problème, c'est du vrai phishing
VI. La "Vérification au premier lancement" après l'analyse de l'APK
Que la signature soit validée ne veut pas dire que tout est parfait, vous devez également examiner le comportement de l'application lors de son premier lancement :
- Demandes de permissions : L'application officielle ne demandera pas les permissions pour les SMS, les contacts ou les photos sur la page de démarrage. Toute version exigeant ces autorisations dès le lancement est du phishing
- Publicités au démarrage : L'application officielle n'a aucune publicité tierce. S'il y a des publicités, c'est une version contrefaite
- Interface de connexion : Lors de la connexion, l'URL doit pointer vers
accounts.binance.com, et non vers un autre domaine - Requêtes réseau : Utilisez un outil de capture de paquets comme HTTP Canary pour voir les domaines lors du premier lancement, ils doivent tous être
*.binance.comou*.binancezh.coet autres domaines officiels
C'est seulement si ces quatre points sont validés que vous pouvez confirmer que l'application est vraiment utilisable.
VII. Priorité des canaux de téléchargement pour les utilisateurs Android
Classés par sécurité, voici les canaux de téléchargement recommandés :
- Téléchargement direct sur le site officiel (binance.com/download) → Le plus recommandé
- Liens de téléchargement poussés par les comptes sociaux Binance (Twitter officiel) → Seulement comme solution de secours
- Boutique Google Play (si votre pays / région la prend en charge) → Fiable mais non disponible en Chine continentale
- F-Droid, APKMirror et autres dépôts tiers d'APK → Non recommandé, bien que ces sites aient des vérifications, ce n'est pas la distribution officielle
Tout APK distribué dans les groupes QQ, WeChat, ou Telegram doit être considéré comme du phishing, peu importe la confiance de l'expéditeur affirmant que "c'est la version officielle".
Questions Fréquentes
Q : Puis-je vérifier l'APK une fois de plus après son installation ?
R : Oui. Utilisez pm path com.binance.dev pour trouver le chemin de l'APK installé, puis exécutez apksigner sur cet APK pour voir la signature réellement installée sur le téléphone. C'est la dernière ligne de défense pour empêcher qu'il soit "remplacé après installation".
Q : Dois-je revérifier une application qui est installée depuis un certain temps ? R : Il est recommandé de le faire après chaque mise à jour majeure. Parce que lors des mises à jour officielles, le fichier APK est téléchargé dans un répertoire temporaire, pendant lequel il y a un risque d'être intercepté (bien que très faible).
Q : Les systèmes personnalisés Android de Xiaomi / Huawei affectent-ils la vérification de signature ? R : Non. La vérification de la signature est une propriété du fichier APK lui-même et n'a rien à voir avec le système. La "liste blanche du magasin d'applications" du côté du système est une autre couche de vérification, les deux ne s'influencent pas.
Q : Que puis-je faire si je n'ai pas d'ordinateur ni de visualiseur de signature installé ? R : Faites au moins la comparaison de hachage SHA-256. De nombreux gestionnaires de fichiers (comme Solid Explorer) intègrent une fonction de calcul de hachage, et la comparer avec l'annonce officielle est la vérification au coût le plus bas.