Sécurité & anti-phishing

Dernière mise à jour : avril 2026

Votre sécurité compte. Cette page répertorie nos domaines et comptes sociaux officiels, explique comment reconnaître le phishing et décrit comment signaler des problèmes de sécurité.

Domaines officiels

CoinKirin n'opère que sous les domaines suivants. Tout le reste n'est pas nous :

• coinkirin.com — Site principal (utilisateurs publics).
• api.coinkirin.com — API REST publique.
• static.coinkirin.com — Ressources statiques (images, CSS, JS) servies via CDN.
• mcp.coinkirin.com — Serveur MCP pour les agents IA.

Nous ne vous demandons jamais de vous connecter via un autre domaine. Si l'URL dans votre navigateur n'est pas l'un des domaines ci-dessus, fermez immédiatement l'onglet.

Comptes sociaux officiels

Nos seuls canaux officiels sont listés ci-dessous. Les comptes prétendant être CoinKirin ailleurs sont des imitateurs :

• GitHub — https://github.com/coinkirin

Comment identifier le phishing

Les attaquants peuvent se faire passer pour le personnel de CoinKirin ou des domaines ressemblants. Gardez ces règles à l'esprit :

• Nous ne vous enverrons JAMAIS d'e-mail demandant votre seed phrase, vos clés privées ou le mot de passe de votre wallet. Quiconque le fait est un escroc.
• Nous ne vous contacterons JAMAIS en premier via Telegram, Discord ou WhatsApp DM pour vous demander des fonds, une vérification ou des identifiants.
• Vérifiez toujours l'orthographe du domaine. Les attaquants utilisent des astuces comme c0inkirin.com, coinklrin.com ou coinkirin.co.
• Vérifiez le certificat SSL — cliquez sur l'icône cadenas dans votre navigateur. Le certificat doit être émis pour coinkirin.com.
• Les e-mails légitimes de notre part viennent d'adresses @coinkirin.com. Survolez toujours les liens avant de cliquer.

Signaler des problèmes de sécurité

Si vous soupçonnez du phishing, une usurpation ou avez trouvé une vulnérabilité, veuillez écrire à security@coinkirin.com.

Veuillez inclure :

• Une description claire du problème ou de la tentative de phishing soupçonnée.
• URLs, captures d'écran, en-têtes d'e-mail ou étapes de reproduction le cas échéant.
• Vos coordonnées (optionnel) pour que nous puissions vous recontacter.

Prime aux bogues

Un programme formel de bug bounty arrive prochainement. En attendant, nous remercions avec reconnaissance les chercheurs en sécurité qui suivent la divulgation responsable — les découvertes valides seront créditées dans notre tableau d'honneur de sécurité.

En-têtes de sécurité que nous utilisons

Chaque page CoinKirin est servie avec des en-têtes de sécurité stricts :

• HSTS — Force les connexions HTTPS uniquement pendant au moins 180 jours, sous-domaines inclus.
• Content-Security-Policy (CSP) — Content Security Policy stricte avec nonces — bloque les scripts injectés et limite les origines des ressources à notre CDN.
• X-Frame-Options — Refuse le framing pour empêcher le clickjacking.
• X-Content-Type-Options — Empêche le sniffing de type MIME.
• Referrer-Policy — Strict-origin-when-cross-origin — limite la fuite de referrer vers les tiers.

Signature de l'APK Android

Notre application Android est distribuée directement en APK et signée avec une clé stable. Vérifiez toujours l'empreinte du certificat de signature avant d'installer ou de mettre à jour — si l'empreinte diffère, l'APK n'est pas authentique.

Empreinte SHA-256 du certificat de signature:

1E:77:94:D0:80:F0:53:75:7E:F5:57:87:6A:E0:74:2F:99:66:0C:70:57:BB:84:ED:02:11:7B:AC:F9:FB:58:4C

Vous pouvez vérifier l'empreinte via : apksigner verify --print-certs coinkirin-latest.apk. Sur l'application installée, ouvrez Paramètres → À propos → Signature pour afficher l'empreinte sur l'appareil.

Politique de divulgation responsable

Nous suivons une fenêtre de divulgation coordonnée de 90 jours. Nos engagements envers les chercheurs :

• Nous accusons réception de votre rapport dans un délai de 5 jours ouvrés.
• Nous n'engagerons pas de poursuites judiciaires contre les chercheurs agissant de bonne foi et respectant cette politique.
• La divulgation publique est coordonnée avec le chercheur et intervient généralement dans les 90 jours suivant le rapport initial, ou plus tôt dès qu'un correctif est déployé.