Binance vient d’ajouter à son arsenal sécuritaire une fonction que personne n’aurait imaginée il y a cinq ans. Withdraw Protection bloque tout retrait on-chain pendant une fenêtre paramétrable de 1 à 7 jours, y compris pour le titulaire du compte lui-même.
Le postulat est d’une franchise inhabituelle pour un exchange de cette taille. Les mots de passe, la double authentification, les passkeys et les whitelists de retrait protègent efficacement contre le phishing, le SIM swap et les seed phrases compromises. Mais ils ne servent strictement à rien lorsqu’un individu se retrouve physiquement contraint de transférer ses fonds. Les « wrench attacks », ces agressions où une clé à molette remplace le malware, restent rares. Elles sont aussi irréversibles que la blockchain elle-même.
Le mécanisme est volontairement rigide. Une fois activé, le verrouillage court jusqu’à son terme sans possibilité d’interruption, pas même par le propriétaire du compte. Un réglage optionnel baptisé « Allow to unlock in advance » permet toutefois de lever le blocage avant l’échéance, à condition de valider l’opération via une clé de sécurité et une application d’authentification. L’utilisateur peut aussi exiger une confirmation supplémentaire par téléphone ou e-mail.
Tout le reste du compte fonctionne normalement pendant la période de gel. Trading, positions ouvertes, consultation des soldes… rien n’est affecté. Seuls les retraits on-chain sont suspendus, ce qui transforme temporairement le portefeuille Binance en une sorte de chambre forte numérique dont personne ne détient la clé.
L’activation se fait depuis l’application mobile ou le site web, dans les paramètres de sécurité avancée. Les utilisateurs iOS doivent disposer au minimum de la version 16 du système et de la version 3.14.0 de l’app. La fenêtre par défaut est fixée à 48 heures, un délai suffisamment long pour décourager un agresseur et alerter les autorités.
Qui, dans l’écosystème crypto, affiche ouvertement ses positions sur les réseaux sociaux sans mesurer le risque ? Binance rappelle à raison que les captures d’écran de soldes et les publications de P&L constituent le premier vecteur d’identification des détenteurs de fonds conséquents. La plateforme recommande aussi d’activer le code anti-phishing (un identifiant de 8 caractères intégré à chaque e-mail officiel), la connexion biométrique et les passkeys pour verrouiller l’ensemble de la chaîne d’accès.
Cette nouvelle couche de protection traduit bien davantage qu’un ajout fonctionnel. Elle reconnaît que la menace s’est déplacée du serveur vers le trottoir, et que l’industrie doit désormais protéger ses utilisateurs contre des risques que le chiffrement seul ne pourra jamais couvrir.
