Skip to content
Back to Blog
hashingfile-integrityhash-generatorhow-to

Comment vérifier la somme de contrôle d'un fichier (SHA-256)

Vous avez téléchargé un ISO ou un installateur et souhaitez confirmer qu'il n'est pas corrompu ou falsifié ? Voici comment générer et comparer une somme de contrôle SHA-256 sur Windows, Mac et Linux, en ligne de commande ou par glisser-déposer dans votre navigateur.

SZ
Founder, Molixa
13 min read
Partager
Comment vérifier la somme de contrôle d'un fichier (SHA-256)
Table of contents8 sections

Pour vérifier la somme de contrôle d'un fichier, vous générez un hachage SHA-256 du fichier téléchargé et le comparez caractère par caractère à la somme de contrôle officielle publiée par l'éditeur. Si les deux chaînes correspondent exactement, le fichier est intact. Si un seul caractère diffère, le fichier est corrompu ou a été modifié. Ce guide montre comment procéder sur Windows, Mac et Linux en ligne de commande, et comment faire la même chose sans aucune commande terminal dans votre navigateur.

La plupart des gens apprennent à vérifier une somme de contrôle de fichier de la manière difficile : un téléchargement échoue silencieusement, un programme d'installation plante, et ce n'est qu'ensuite qu'ils découvrent que le fichier était incomplet. Une vérification de somme de contrôle de deux secondes détecte cela avant d'exécuter le fichier, ainsi que le cas plus effrayant où un miroir de téléchargement a été compromis et le fichier remplacé par un logiciel malveillant.

Ce que prouve réellement une somme de contrôle (et ce qu'elle ne prouve pas)#

Une somme de contrôle est une empreinte numérique de taille fixe d'un fichier. Exécutez le même fichier deux fois avec le même algorithme de hachage et vous obtiendrez la même chaîne de caractères à chaque fois. Modifiez un seul octet et l'empreinte entière change complètement. C'est tout le mécanisme, et c'est ce qui rend les sommes de contrôle utiles pour détecter à la fois la corruption accidentelle et la falsification délibérée.

Voici la partie que la plupart des tutoriels omettent, et c'est celle qui compte pour votre sécurité. Une somme de contrôle correspondante prouve que le fichier que vous avez est identique octet par octet au fichier que décrit la somme de contrôle publiée. Elle ne prouve rien quant à la fiabilité de cette somme de contrôle de référence.

Point clé : une somme de contrôle ne vérifie que l'intégrité, pas l'authenticité, à moins que vous ne fassiez confiance à la source de la somme de contrôle elle-même. Si un attaquant peut remplacer à la fois le téléchargement et la somme de contrôle sur la même page, leur correspondance ne vous apprend rien.

Intégrité versus authenticité#

Ces deux mots sont souvent utilisés de manière interchangeable, mais ils ne devraient pas l'être.

  • L'intégrité signifie que le fichier est arrivé exactement comme il a quitté le serveur, sans corruption due à une connexion interrompue, un secteur de disque défectueux ou un miroir instable. N'importe quelle somme de contrôle, même un ancien MD5, vérifie parfaitement l'intégrité.
  • L'authenticité signifie que le fichier provient bien de l'éditeur que vous pensez, sans qu'une version malveillante ait été substituée. Cela nécessite que la somme de contrôle provienne d'un canal qu'un attaquant ne peut pas non plus contrôler.

La conclusion pratique : téléchargez le fichier depuis un miroir, mais obtenez la somme de contrôle depuis le site HTTPS principal de l'éditeur ou un fichier de somme de contrôle signé. Si les deux se trouvent sur le même miroir non fiable, une correspondance de hachage n'est que du cinéma sécuritaire.

Pourquoi les sommes de contrôle MD5 restent acceptables pour la corruption#

Vous verrez encore des sommes de contrôle MD5 publiées à côté des téléchargements, et les forums sont remplis de personnes insistant sur le fait que MD5 est « cassé » et inutile. Ce conseil est à moitié vrai, et la moitié qui est fausse induit constamment les gens en erreur.

MD5 est cryptographiquement cassé dans un sens précis : un attaquant qualifié peut délibérément créer deux fichiers différents produisant la même empreinte MD5 (une collision). Cela rend MD5 inadapté pour l'authenticité. Mais MD5 reste parfaitement capable de détecter une corruption accidentelle. Un téléchargement tronqué ou un bit inversé par un disque défaillant n'entrera pas magiquement en collision avec l'empreinte d'origine. Donc, si un projet ne publie qu'une somme de contrôle MD5 et que vous voulez simplement confirmer que le téléchargement n'est pas corrompu, MD5 fait parfaitement l'affaire.

AlgorithmeSûr pour la vérification de corruptionSûr pour l'intégrité/authenticitéRemarques
MD5OuiNonLes collisions sont réalisables ; ne jamais utiliser pour la sécurité
SHA-1OuiNonObsolète ; collisions démontrées depuis 2017
SHA-256OuiOuiLe standard actuel pour la vérification des versions
SHA-512OuiOuiMême famille que SHA-256, empreinte plus longue

La règle générale : si un téléchargement propose SHA-256, privilégiez-le toujours. Si seul MD5 est disponible et que vous vérifiez un téléchargement potentiellement corrompu, MD5 est acceptable. Ne vous fiez jamais à MD5 ou SHA-1 pour prouver qu'un fichier n'a pas été falsifié.

Comment vérifier une somme de contrôle de fichier sur Windows, Mac et Linux#

La commande diffère selon le système d'exploitation, mais le processus est identique partout : générer le hachage de votre fichier téléchargé, puis le comparer à la valeur publiée.

Étape 1 : Trouver la somme de contrôle officielle#

Avant de hacher quoi que ce soit, localisez la somme de contrôle de référence fournie par l'éditeur. Cherchez un fichier SHA256SUMS, un fichier .sha256 à côté du téléchargement, ou un hachage sur la page de version officielle. Assurez-vous qu'il s'agit de SHA-256 (une chaîne hexadécimale de 64 caractères) et non de MD5 (32 caractères) ou SHA-1 (40 caractères), car vous devez hacher avec l'algorithme correspondant.

Si l'éditeur propose une signature GPG pour le fichier de somme de contrôle, sa vérification est la référence absolue, car elle confirme que la liste des sommes de contrôle provient bien du véritable éditeur.

Étape 2 : Générer le hachage sur votre machine#

Ouvrez un terminal dans le dossier contenant votre téléchargement et exécutez la commande pour votre plateforme.

Windows (Invité de commandes ou PowerShell) :

certutil -hashfile votre_fichier.iso SHA256

certutil est intégré à Windows, donc rien à installer. Remplacez SHA256 par MD5 ou SHA1 si c'est ce que l'éditeur a fourni. Les utilisateurs de PowerShell peuvent aussi exécuter Get-FileHash votre_fichier.iso -Algorithm SHA256 pour un résultat plus clair.

macOS :

shasum -a 256 votre_fichier.dmg

Le paramètre -a 256 sélectionne SHA-256. Pour MD5 sur Mac, utilisez la commande distincte md5 votre_fichier.dmg. Les deux sont fournis avec macOS.

Linux :

sha256sum votre_fichier.iso

La plupart des distributions incluent sha256sum, md5sum et sha1sum par défaut. Chacune affiche le hachage suivi du nom du fichier.

Étape 3 : Comparer les deux hachages#

Placez le hachage produit par votre machine à côté du hachage officiel. Ils sont longs, donc ne vérifiez pas toute la chaîne à l'œil nu. Vérifiez les six premiers et six derniers caractères et confirmez que la longueur correspond. Si les deux extrémités concordent, il y a presque certainement une correspondance.

Sous Linux et Mac, vous pouvez laisser l'ordinateur comparer pour vous. Si l'éditeur vous a fourni un fichier SHA256SUMS, exécutez sha256sum -c SHA256SUMS (ou shasum -a 256 -c sur Mac) dans le même dossier et il affichera OK ou ÉCHEC par fichier, éliminant tout risque d'erreur humaine de lecture.

Étape 4 : Décider en fonction du résultat#

  • Les hachages correspondent : le fichier est intact et identique à la version publiée. Si vous faites également confiance à la provenance de la somme de contrôle, vous pouvez procéder en toute sécurité.
  • Les hachages ne correspondent pas : arrêtez-vous. N'exécutez pas le fichier. Téléchargez à nouveau depuis un miroir différent et vérifiez encore. Une discordance persistante par rapport à la source officielle est un signal d'alarme à signaler au projet.

La méthode sans terminal : vérifier une somme de contrôle dans votre navigateur#

Les outils en ligne de commande sont fiables, mais beaucoup de personnes ne veulent pas ouvrir un terminal, n'ont pas les droits admin sur leur machine de travail, ou trouvent la syntaxe source d'erreurs. Il existe un chemin plus rapide qui produit exactement le même résultat SHA-256.

Un générateur de hachage SHA-256 gratuit basé sur le navigateur vous permet de glisser-déposer le fichier et calcule l'empreinte directement sur votre appareil grâce à l'API Web Crypto intégrée au navigateur. Rien n'est téléchargé ailleurs. Le fichier ne quitte jamais votre ordinateur, ce qui est important lorsque vous vérifiez un installateur sensible ou un document confidentiel.

Le flux de travail est le même en trois étapes, sans la frappe :

  1. Ouvrez le générateur de hachage et glissez-déposez votre fichier téléchargé dessus.
  2. Lisez l'empreinte SHA-256 qu'il produit.
  3. Collez la somme de contrôle officielle de l'éditeur dans le champ de comparaison ; l'outil vous indique instantanément si elles correspondent.

Ce dernier point vous évite de vous tromper. Au lieu de plisser les yeux sur deux chaînes de 64 caractères, vous collez la valeur attendue et obtenez un résultat clair de correspondance ou non, avec les caractères différents mis en évidence. Le même outil peut changer d'algorithme, donc un téléchargement plus ancien avec seulement un hachage MD5 est également couvert.

Astuce : comme le hachage s'exécute localement dans votre navigateur, cela fonctionne aussi hors ligne une fois la page chargée. Utile sur une machine isolée ou un réseau verrouillé.

Raisons courantes pour lesquelles une somme de contrôle ne correspond pas#

Une discordance est alarmante, mais elle est généralement banale. Parcourez ces points avant de supposer le pire.

  • Mauvais algorithme. Vous avez haché avec SHA-256 mais la valeur publiée est MD5, ou vice versa. Les chaînes ne correspondent jamais entre algorithmes, vérifiez donc d'abord la longueur du condensé.
  • Téléchargement incomplet. La cause la plus fréquente. Une connexion interrompue laisse un fichier tronqué. Téléchargez à nouveau et revérifiez.
  • Vous avez haché le mauvais fichier. Une ancienne copie portant le même nom, ou un installeur renommé, produit un hachage différent. Confirmez que vous pointez vers le bon fichier.
  • Espace blanc ou casse dans la comparaison. Un espace parasite ou une différence de casse peut ressembler à une discordance lors du collage. Les hachages hexadécimaux sont insensibles à la casse, normalisez les deux en minuscules ; un bon outil de comparaison le fait pour vous.
  • L'éditeur a mis à jour le fichier. Certains projets reconstruisent les versions et mettent à jour les sommes de contrôle, donc faites correspondre votre hachage de référence à la version exacte que vous avez téléchargée.

Si vous avez éliminé tous ces points et que le hachage officiel ne correspond toujours pas, considérez le téléchargement comme non fiable. C'est exactement la situation que la vérification des sommes de contrôle est conçue pour détecter.

Où la vérification de somme de contrôle s'inscrit dans une routine de sécurité#

Vérifier une somme de contrôle est une couche, pas la défense complète. Téléchargez depuis des sources officielles via HTTPS pour que la connexion elle-même soit authentifiée, et privilégiez les sommes de contrôle signées par GPG pour tout ce qui est critique en matière de sécurité, car une signature lie le hachage à une clé vérifiable plutôt qu'à une simple page web.

Une fois qu'un fichier est vérifié et installé, vos risques restants se déplacent vers les mots de passe et les comptes. Si un outil que vous avez installé vous demande de créer des identifiants, testez-les avec un vérificateur de force de mot de passe et générez-en un unique avec un générateur de mot de passe sécurisé pour qu'une installation vérifiée ne devienne pas le nouveau maillon faible.

Le hachage est également utile au-delà des téléchargements. Le même condensé SHA-256 qui vérifie une ISO peut identifier un fichier de configuration pour détecter des modifications ultérieures, dédupliquer des documents ou confirmer qu'une sauvegarde correspond à son original.

Conclusion : Comment vérifier une somme de contrôle de fichier correctement#

Savoir comment vérifier une somme de contrôle de fichier transforme un acte de foi en une certitude de deux secondes. Générez le hachage SHA-256 de votre téléchargement, comparez-le à la valeur officielle de l'éditeur, et ne continuez que s'ils correspondent exactement. Utilisez la ligne de commande si vous vivez dans un terminal, ou glissez le fichier dans un générateur en ligne si vous préférez éviter la syntaxe.

Le détail qui distingue une véritable vérification d'un placebo est la provenance de votre somme de contrôle de référence. Comparez le fichier à un hachage provenant d'une source fiable de l'éditeur, servie en HTTPS et idéalement signée, et vous aurez vérifié à la fois l'intégrité et l'authenticité. Comparez-le à un hachage sur le même miroir douteux que le téléchargement, et vous n'aurez rien vérifié d'important. Obtenez la somme de contrôle d'une source de confiance, générez la vôtre avec un générateur de hachage SHA-256 gratuit, comparez, et vous avez terminé.

Foire aux questions#

Quelle est la différence entre une somme de contrôle et un hachage ? Dans l'usage courant, ils désignent la même chose pour la vérification de fichiers : une empreinte de longueur fixe calculée à partir du contenu d'un fichier. Techniquement, "somme de contrôle" est un terme plus large qui inclut des codes simples de détection d'erreurs comme CRC32, tandis que "hachage" fait généralement référence à une fonction cryptographique comme SHA-256. Lorsqu'une page de téléchargement indique "somme de contrôle", il s'agit presque toujours d'un hachage cryptographique tel que MD5, SHA-1 ou SHA-256.

Une correspondance de hachage SHA-256 signifie-t-elle que le fichier est sûr ? Cela signifie que le fichier est identique octet par octet à celui décrit par le hachage publié. Cela garantit que le fichier n'a pas été corrompu pendant le transfert. Cela ne garantit que le fichier provient bien de l'éditeur si vous avez obtenu le hachage depuis une source qu'un attaquant ne peut pas non plus falsifier, comme le site HTTPS de l'éditeur ou un fichier de hachage signé GPG.

MD5 est-il suffisant pour vérifier un téléchargement ? Pour détecter une corruption accidentelle, oui. Un téléchargement tronqué ou endommagé ne produira pas accidentellement le même MD5 que l'original. Pour prouver qu'un fichier n'a pas été délibérément modifié, non, car les attaquants peuvent créer des collisions MD5. Si l'éditeur propose SHA-256, utilisez-le plutôt et réservez MD5 aux simples vérifications de corruption.

Comment vérifier une somme de contrôle sur Windows sans rien installer ? Utilisez la commande intégrée certutil : ouvrez l'invite de commandes dans le dossier du fichier et exécutez certutil -hashfile votrefichier.iso SHA256. Les utilisateurs de PowerShell peuvent exécuter Get-FileHash votrefichier.iso -Algorithm SHA256 pour un résultat plus clair. Si vous préférez éviter le terminal, glissez le fichier dans un générateur de hachage basé sur navigateur qui s'exécute localement sur votre machine.

Pourquoi mes deux hachages sont-ils différents alors que j'ai téléchargé le bon fichier ? Les causes habituelles sont un hachage avec le mauvais algorithme (comparaison d'un hachage SHA-256 à une valeur MD5), un téléchargement incomplet, ou des différences d'espacement et de casse lors du collage des valeurs. Les hachages hexadécimaux sont insensibles à la casse, normalisez donc les deux en minuscules. Si tout correspond et que le hachage diffère toujours de la source officielle, retéléchargez depuis un autre miroir et vérifiez à nouveau.

Puis-je vérifier une somme de contrôle hors ligne ? Oui. Les outils en ligne de commande (certutil, shasum, sha256sum) s'exécutent entièrement localement sans besoin d'internet. Un générateur basé sur navigateur utilisant l'API Web Crypto fonctionne également hors ligne une fois la page chargée, car le hachage s'effectue sur votre appareil plutôt que sur un serveur.

hashingfile-integrityhash-generatorhow-to

More from Molixa

Try Molixa Tools

50+ free AI tools for content creation, SEO, coding, and more. No signup, no watermark.

Explore all tools