Tutoriels pratiques Binance A propos Avertissement
EN JA KO ES FR
TK Crypto Actu TK Crypto Actu Site officiel Binance · Telechargement · Compte · Portefeuille
Rechercher un tutoriel Binance
Accueil Tous les tutoriels Categories Telecharger l'APP A propos Avertissement
Pour debuterInstallationVerification identiteDepots et retraitsGuide de tradingPanorama des exchangesSecuritePolitiques par paysGuide portefeuille
Accueil Tous les tutorielsInstallationSecuriteMéthode de vérification de la signature numérique de l'APK Binance pour éviter les fausses applications

Méthode de vérification de la signature numérique de l'APK Binance pour éviter les fausses applications

TK Crypto Actu · 2026-04-09 · Environ27min·Installation·Securite

Tous les APK Android doivent être signés par le développeur avec une clé privée avant de pouvoir être installés. Cette signature laisse une empreinte SHA-256 impossible à falsifier. Tant que l'empreinte de l'APK Binance que vous possédez correspond exactement à celle publiée officiellement par Binance, il est confirmé à 100 % qu'il s'agit de la version originale, sans aucune possibilité d'altération. Il est recommandé d'obtenir l'APK sur le site officiel de Binance, puis de le vérifier selon la méthode de cet article, ou d'installer directement l'application officielle Binance sur un appareil de confiance. Les utilisateurs d'iPhone peuvent consulter le tutoriel d'installation iOS.

Qu'est-ce que la signature numérique ?

Le système Android exige que tous les APK soient soumis à une signature numérique avant l'installation. Le principe de fonctionnement de la signature est globalement le suivant :

  1. Le développeur génère une paire de clé publique et clé privée.
  2. Avant de publier l'APK, la clé privée est utilisée pour calculer un bloc de signature sur le contenu de l'APK.
  3. Le bloc de signature, ainsi que le certificat de la clé publique, sont empaquetés dans l'APK.
  4. Lors de l'installation, le système Android utilise la clé publique pour vérifier si la signature est valide.
  5. Toute modification apportée au fichier APK invalidera la signature, et le système refusera l'installation ou affichera une erreur.

La clé privée est strictement conservée par Binance et est inaccessible de l'extérieur. Cela signifie que :

  • Personne ne peut falsifier la signature de Binance (en théorie, le piratage prendrait des centaines de millions d'années).
  • Tout APK dans lequel du code a été injecté doit être re-signé, et l'empreinte de la signature sera complètement différente.
  • Tant que l'empreinte correspond, l'APK est obligatoirement l'original.

C'est toute la puissance de la signature numérique : elle constitue l'ultime ligne de défense contre les applications contrefaites.

Concepts clés de la vérification de signature

Qu'est-ce que l'empreinte SHA-256 ?

SHA-256 est un algorithme de hachage capable de convertir des données de n'importe quelle taille en une chaîne hexadécimale fixe de 64 caractères. Pour un même certificat, quel que soit celui qui effectue le calcul, le résultat SHA-256 sera exactement le même.

L'empreinte du certificat de signature de Binance se présente ainsi :

XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:
XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX

(32 octets, chaque octet étant représenté par 2 caractères hexadécimaux, soit un total de 64 caractères)

Cette chaîne de caractères est l'"ADN" de l'APK Binance : tout véritable APK officiel produira cette empreinte identique.

Les trois schémas de signature

Android a connu plusieurs générations de schémas de signature d'APK :

Schéma Version introduite Caractéristiques
v1 (JAR) Android 1.0 Basé sur la signature JAR, signe uniquement META-INF/
v2 (APK Sig Scheme v2) Android 7.0 Signe tout l'APK, installation plus rapide
v3 (APK Sig Scheme v3) Android 9.0 Prend en charge la rotation des clés
v4 (APK Sig Scheme v4) Android 11 Prend en charge les mises à jour incrémentielles

L'APK Binance utilise simultanément les signatures v1+v2+v3, garantissant ainsi que la vérification réussira sur toutes les versions d'Android.

Méthode 1 : Vérifier avec apksigner

apksigner est l'outil officiel fourni par Google, c'est la vérification la plus fiable.

Installer apksigner

Windows :

  1. Téléchargez les Android Command Line Tools (officiel Google).
  2. Après l'extraction, trouvez apksigner.bat dans le répertoire build-tools/<version>/.
  3. Ajoutez ce répertoire à votre variable d'environnement PATH.

macOS / Linux :

brew install android-commandlinetools

Ou téléchargez Android Studio, apksigner se trouvera dans le répertoire ~/Library/Android/sdk/build-tools/xx.x.x/.

Vérifier la validité de la signature

La vérification la plus basique :

apksigner verify --verbose Binance.apk

Sortie normale :

Verifies
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Number of signers: 1

Si l'un des éléments est false, cela indique un problème avec la signature, soit l'APK est corrompu, soit il a été altéré.

Afficher les détails du certificat de signature

apksigner verify --print-certs Binance.apk

Exemple de sortie (l'empreinte est une valeur illustrative) :

Signer #1 certificate DN: CN=Binance Holdings Limited, O=Binance, L=George Town, ST=Cayman, C=KY
Signer #1 certificate SHA-256 digest:
 a1:b2:c3:d4:e5:f6:07:18:29:3a:4b:5c:6d:7e:8f:90:
 a1:b2:c3:d4:e5:f6:07:18:29:3a:4b:5c:6d:7e:8f:90
Signer #1 certificate SHA-1 digest:
 a1:b2:c3:d4:e5:f6:07:18:29:3a:4b:5c:6d:7e:8f:90:11:22:33
Signer #1 certificate MD5 digest:
 a1:b2:c3:d4:e5:f6:07:18:29:3a:4b:5c:6d:7e:8f:90

Faites attention à trois champs :

  1. certificate DN : Doit contenir "Binance Holdings Limited" ou un nom officiel similaire.
  2. SHA-256 digest : Doit correspondre exactement à ce qui est publié sur le site officiel de Binance.
  3. Nombre de signataires (Signer) : Doit être 1 (plusieurs signataires peuvent signifier une re-signature secondaire).

Comparez le SHA-256 que vous avez calculé avec la valeur sur le site officiel, chaque caractère doit être identique.

Méthode 2 : Vérifier avec keytool

keytool est un outil fourni avec le JDK, aucune installation supplémentaire n'est requise (tant que Java est installé).

Exporter le certificat

Commencez par décompresser l'APK comme un fichier ZIP, et trouvez le fichier de certificat dans le répertoire META-INF/ (généralement CERT.RSA ou BINANCE.RSA) :

unzip -p Binance.apk META-INF/CERT.RSA > cert.rsa

Afficher l'empreinte du certificat

keytool -printcert -file cert.rsa

Exemple de sortie :

Owner: CN=Binance Holdings Limited, O=Binance, L=George Town
Issuer: CN=Binance Holdings Limited, O=Binance, L=George Town
Serial number: abc123def456
Valid from: Mon Jan 01 00:00:00 UTC 2020 until: Sat Dec 31 23:59:59 UTC 2049
Certificate fingerprints:
     SHA1: A1:B2:C3:D4:E5:F6:07:18:29:3A:4B:5C:6D:7E:8F:90:11:22:33:44
     SHA256: A1:B2:C3:D4:E5:F6:07:18:29:3A:4B:5C:6D:7E:8F:90:A1:B2:C3:D4:E5:F6:07:18:29:3A:4B:5C:6D:7E:8F:90
Signature algorithm name: SHA256withRSA
Version: 3

Comparez également l'empreinte SHA256 avec la valeur publiée officiellement.

Méthode 3 : Vérification par outils en ligne

Si vous n'avez pas installé les outils en ligne de commande, vous pouvez utiliser certains outils d'analyse d'APK en ligne :

  • Les sites du type APK Analyzer (assurez-vous de choisir ceux ayant une bonne réputation).
  • Les fonctions de vérification de signature de AppMoD ou APKMirror.

Après avoir téléchargé l'APK, les informations de signature seront affichées, y compris l'empreinte SHA-256.

Attention aux risques de confidentialité : Télécharger un APK sur un site tiers revient à leur remettre le fichier. Bien que l'APK Binance ne contienne pas de données personnelles, il est tout de même recommandé de :

  1. N'utiliser que des outils en ligne connus et réputés.
  2. S'assurer que le tiers supprime automatiquement le fichier après vérification.
  3. Éviter d'utiliser la vérification en ligne pour des applications liées à des numéros de téléphone ou des comptes sensibles.

Méthode 4 : Vérification directe sur le téléphone

La solution pour les plus pressés sans ordinateur : Installez une application de consultation des informations de paquets (depuis un marché d'applications de confiance), ouvrez-la, sélectionnez Binance et consultez les champs "Informations de signature" ou "Informations sur le certificat", où vous pourrez également voir l'empreinte SHA-256.

Cette méthode part du principe que l'application de consultation des informations sur votre téléphone est elle-même digne de confiance.

Le cycle complet du processus de vérification

Processus de vérification complet recommandé :

  1. Téléchargez l'APK depuis binance.com.
  2. Notez la taille du fichier APK et comparez-la avec la valeur officielle (devrait être de 80-90 Mo).
  3. Exécutez apksigner verify pour confirmer que la signature est valide.
  4. Exécutez apksigner verify --print-certs pour obtenir le SHA-256.
  5. Comparez avec le SHA-256 publié officiellement.
  6. Installez uniquement si c'est parfaitement identique.
  7. Après l'installation, vérifiez si le nom du paquet est com.binance.dev.

En effectuant ces sept étapes, vous pouvez confirmer à 99,99 % que l'APK est la version originale.

Questions fréquentes

Q1 : Je ne trouve pas l'empreinte SHA-256 publiée sur le site officiel de Binance, où est-elle ?

R : Binance la publie sur la page "Comment vérifier l'authenticité de l'APK" du Centre d'aide. La signature principale peut varier selon les périodes (en cas de rotation des clés), et le site officiel listera toutes les signatures historiques valides. Si vous ne la trouvez pas, contactez directement le service client de Binance, n'utilisez pas d'"empreintes" provenant de sites tiers comme référence.

Q2 : Lequel est le plus fiable entre SHA-1 et SHA-256 ?

R : Le SHA-256 est plus fiable. Le SHA-1 a théoriquement été prouvé comme vulnérable aux collisions, et ne doit pas servir de base unique pour la vérification de sécurité. Cependant, pour un scénario non sensible comme la signature d'un APK, la difficulté d'une collision SHA-1 reste extrêmement élevée. Dans la pratique, comparer les deux est plus sûr. Ne regardez absolument pas uniquement le MD5 — le MD5 a été complètement piraté.

Q3 : Deux versions différentes de l'APK Binance doivent-elles avoir la même empreinte de signature ?

R : Elles doivent être exactement les mêmes. Car c'est le même certificat de signature qui est utilisé. Si vous comparez les signatures des APK des versions v2.91.0 et v2.92.0, l'empreinte SHA-256 doit être parfaitement identique. Ce qui diffère, c'est le hachage du contenu de l'APK lui-même, l'empreinte du certificat, elle, ne change pas. C'est ainsi que vous déterminez qu'il s'agit du "même développeur".

Q4 : La vérification de la signature a réussi, mais l'APP fonctionne anormalement. Cela signifie-t-il que l'APP a quand même un problème ?

R : La réussite de la vérification de la signature prouve seulement que l'APK n'a pas été altéré, elle ne prouve pas que tout fonctionnera normalement lors de l'exécution de l'application. Si la signature est correcte mais que le fonctionnement est anormal, cela peut être dû à : ① une incompatibilité de la version du système ; ② un problème de réseau ; ③ un cache local corrompu ; ④ d'autres logiciels malveillants sur le téléphone qui interfèrent avec l'APP Binance. Essayez d'abord de désinstaller et de réinstaller + vider le cache.

Q5 : Comment les utilisateurs d'iOS vérifient-ils l'authenticité de l'application ?

R : iOS ne nécessite pas de vérifier manuellement la signature. Le mécanisme de bac à sable (sandbox) d'Apple impose que : toutes les applications téléchargées depuis l'App Store sont signées par Apple, le système vérifiera automatiquement la signature à chaque démarrage. Toute application altérée ne pourra pas s'exécuter sur un iPhone standard. La priorité pour les utilisateurs d'iOS est : confirmer que le téléchargement provient de l'App Store officiel, et que le développeur affiché est Binance Holdings Limited.

La vérification de la signature est un investissement unique

Apprendre à utiliser apksigner la première fois prend de 10 à 20 minutes, mais ensuite chaque vérification d'une nouvelle version d'APK ne prendra que 30 secondes. Comparez ces deux scénarios :

  • Le coût de ne pas vérifier : une chance sur 10 000 d'installer une fausse application, de se faire voler ses actifs, avec des pertes pouvant aller de quelques milliers à des centaines de milliers de dollars.
  • Le coût de la vérification : prendre 30 secondes de plus à chaque mise à jour.

D'un point de vue d'espérance mathématique, vérifier la signature de l'APK est une habitude très rentable. Pour tout utilisateur détenant plus de mille dollars en cryptomonnaies, cela devrait être une étape standard à chaque mise à jour de l'application.

Si vous trouvez la ligne de commande trop fastidieuse, faites au moins les deux étapes de base :

  1. Téléchargez uniquement depuis binance.com.
  2. Après l'installation, vérifiez que le nom du paquet est com.binance.dev.

Ces deux étapes permettront de bloquer la grande majorité des versions contrefaites, ajoutant une couche d'assurance supplémentaire pour vos actifs.

Etape suivante Acceder au site officiel Binance Telecharger l'APP Binance