Le DFPI californien recense des centaines de faux sites d'exchange chaque trimestre. En France, l'AMF ajoute régulièrement de nouvelles adresses à sa liste noire. Et le problème empire : en 2026, les sites clones sont tellement bien faits que même des utilisateurs expérimentés s'y font prendre. Graphiques en temps réel, chat support, processus KYC bidon. Tout y est, sauf la légitimité.
J'ai analysé plusieurs faux sites signalés ces derniers mois. Certains étaient impressionnants de réalisme. Voici les signaux d'alerte qui les trahissent, et les réflexes qui vous éviteront d'y laisser vos fonds.
L'URL : le premier truc à vérifier (et souvent le seul)
La plupart des faux sites jouent sur des variations subtiles du nom de domaine. binance-pro.com au lieu de binance.com. krakken.com avec deux "k". coinbase-login.net avec un suffixe différent. Ces domaines coûtent quelques euros à enregistrer et peuvent être en ligne en 10 minutes.
Certains vont plus loin et utilisent des caractères Unicode qui ressemblent visuellement aux lettres latines. Un "а" cyrillique est identique à un "a" latin à l'œil nu, mais le navigateur les traite comme deux caractères différents. L'URL semble correcte, mais elle pointe vers un serveur contrôlé par l'attaquant.
Le réflexe le plus fiable : ajoutez vos sites crypto en favoris quand vous êtes certain d'être sur le bon. N'y accédez jamais via un moteur de recherche ou un lien dans un email.
Les pubs Google malveillantes
Les attaquants achètent des Google Ads pour des mots-clés comme "Binance login" ou "MetaMask download". Leur pub apparaît au-dessus du vrai résultat organique. Vous cliquez sur le premier lien parce que c'est un réflexe, et vous atterrissez sur un clone.
Google a resserré ses politiques sur les pubs crypto, mais des campagnes malveillantes passent encore entre les mailles du filet, parfois pendant plusieurs heures avant d'être détectées. Le temps qu'elles soient retirées, des dizaines de personnes se sont fait piéger.
Ne cliquez jamais sur une publicité Google pour accéder à un exchange ou un wallet crypto. Utilisez vos favoris, point.
Les signaux d'alerte sur le site lui-même
Le certificat SSL (le cadenas dans la barre d'adresse) ne prouve rien. N'importe qui peut obtenir un certificat SSL gratuit via Let's Encrypt. Un faux site peut très bien afficher le cadenas.
Ce qui doit vous alerter : l'absence de la mention "enregistré PSAN" ou d'un numéro d'enregistrement vérifiable. Un processus de KYC qui ne demande qu'un email (les vrais exchanges demandent une pièce d'identité). Des boutons "Télécharger" qui redirigent vers des fichiers exécutables au lieu de l'App Store ou du Play Store. Un support client qui répond uniquement par Telegram ou WhatsApp.
Et le test ultime : essayez de retirer de l'argent. Les faux sites vous laisseront déposer sans problème. C'est au moment du retrait que ça bloque, avec des excuses du type "frais de déblocage" ou "vérification supplémentaire nécessaire".
Comment vérifier qu'un exchange est légitime
En France, la méthode la plus fiable : vérifiez la liste des PSAN enregistrés sur le site de l'AMF. Si la plateforme n'y figure pas et qu'elle prétend opérer en France, c'est un signal d'alarme. Pour les plateformes européennes hors France, vérifiez leur enregistrement MiCA dans leur pays d'origine.
Vérifiez aussi la liste noire de l'AMF, qui recense les sites frauduleux signalés. Elle n'est pas exhaustive (les nouveaux sites frauduleux apparaissent plus vite qu'ils ne sont listés), mais c'est un bon premier filtre.
Sur les vrais exchanges, vous pouvez configurer un code anti-phishing dans vos paramètres de sécurité. C'est un mot ou une phrase personnalisée qui apparaît dans tous les emails légitimes de la plateforme. Si un email prétend venir de Binance mais ne contient pas votre code anti-phishing, c'est un faux. Activez cette fonctionnalité sur chaque plateforme qui le propose.
Les faux exchanges "recommandés" par des influenceurs
Certains faux exchanges ne se contentent pas d'attendre que vous les trouviez. Ils paient des influenceurs (ou créent de faux comptes d'influenceurs) pour promouvoir leur "plateforme" sur YouTube, Twitter ou TikTok. Les vidéos montrent des gains spectaculaires, des interfaces propres, des "preuves" de retraits réussis. Tout est fabriqué.
En 2026, les deepfakes rendent ça encore plus convaincant. On a vu des vidéos avec la voix et le visage d'Elon Musk ou de CZ (Binance) qui "recommandaient" des plateformes frauduleuses. Si un exchange ne figure pas sur la liste PSAN de l'AMF et que vous n'en avez jamais entendu parler ailleurs que dans une pub, passez votre chemin.
Que faire si vous avez déposé sur un faux site
Si vous avez donné vos identifiants d'un vrai exchange sur un faux site : changez immédiatement votre mot de passe sur le vrai exchange, révoquez les sessions actives, et vérifiez qu'aucun retrait n'a été initié. Activez le 2FA si ce n'est pas déjà fait.
Si vous avez envoyé des cryptos ou des euros sur un faux exchange : les chances de récupération sont faibles, mais déposez plainte sur THESEE et contactez votre banque pour tenter un chargeback sur le paiement par carte. Ne faites confiance à aucun "service de récupération" qui vous contacte ensuite. Ce sont des arnaqueurs qui ciblent les victimes une deuxième fois.
Pour une protection complète de vos comptes crypto, consultez notre guide de sécurité.
