Comment vérifier l’intégrité d’un fichier téléchargé (hash SHA-256 + signature)

Bureau informatique avec écran flouté et outils de vérification, illustrant le contrôle d’intégrité d’un fichier téléchargé (hash SHA-256 et signature numérique)

Télécharger un installateur ou une archive sur Internet, c’est devenu banal… mais c’est aussi l’un des moyens les plus courants de se faire piéger (faux site, miroir compromis, fichier modifié, téléchargement incomplet). La bonne nouvelle : en quelques minutes, tu peux vérifier si le fichier est exactement celui publié par l’éditeur, avant même de l’ouvrir.

Hash : à quoi ça sert (et ce que ça ne garantit pas)

Un hash (ex : SHA-256) est une “empreinte” unique calculée à partir d’un fichier.
Si le fichier change d’un seul bit (modification, corruption, mauvaise version), le hash change.

Concrètement, l’éditeur (ou un site sérieux) publie souvent un hash officiel. Ton but est simple :
tu calcules le SHA-256 du fichier téléchargé, puis tu compares avec celui fourni par la source.

Hash vs signature vs antivirus (tableau clair)

MéthodeÀ quoi ça sertCe que ça ne garantit pas
Hash (SHA-256)Vérifie que le fichier est strictement identique à celui annoncéNe prouve pas “qui” l’a publié, ni que la source est légitime
Signature numériqueVérifie l’éditeur et l’intégrité (certificat)Ne protège pas d’un éditeur malveillant ou d’un certificat volé (rare, mais possible)
AntivirusDétecte des menaces connues / comportements suspectsPeut rater du nouveau malware ou générer des faux positifs


Si tu veux une règle simple :
hash = “même fichier que prévu” ; signature = “éditeur identifié” ; antivirus = “filet de sécurité”.

Vérifier un hash SHA-256 sur Windows (méthode simple)

Sur Windows 10/11, tu peux le faire sans installer quoi que ce soit avec PowerShell.

Calculer le SHA-256 avec PowerShell

  1. Clique droit sur le bouton Windows → Terminal (PowerShell)
  2. Va dans le dossier du fichier (ou utilise un chemin direct)

Commande :

Get-FileHash "C:\chemin\vers\ton-fichier.exe" -Algorithm SHA256

Tu obtiens une sortie avec une ligne Hash. Exemple (format indicatif) :

  • Algorithm : SHA256
  • Hash : 3A1F…
  • Path : C:\…

Tu compares ensuite ce hash avec celui affiché sur le site officiel.

Variante : se placer dans le dossier, puis calculer

Si ton fichier est dans “Téléchargements”, tu peux faire :

cd "$env:USERPROFILE\Downloads"
Get-FileHash "ton-fichier.exe" -Algorithm SHA256

Ça évite les chemins longs.

Comparer correctement un hash (sans se tromper)

La comparaison est bête, mais c’est là que beaucoup se plantent.

  • Un hash SHA-256 fait 64 caractères (hexadécimal).
  • Les majuscules/minuscules n’ont pas d’importance (A = a), mais les caractères doivent être identiques.
  • Fais attention aux espaces invisibles quand tu copies/colles.

Bon réflexe : copie le hash officiel dans un bloc-notes simple, copie ton hash PowerShell en dessous, et compare visuellement par segments (ex : 8 caractères par 8).

Si le hash est différent, ne cherche pas midi à quatorze heures : ne lance pas le fichier.

Vérifier la signature numérique d’un fichier (éditeur / certificat)

La signature numérique (quand elle existe) te dit :

  • si le fichier a été signé par un éditeur identifié
  • si le fichier a été modifié après signature (ça invalide la signature)

Vérifier via l’explorateur Windows

  1. Clique droit sur le fichier → Propriétés
  2. Onglet Signatures numériques (s’il existe)
  3. Sélectionne la signature → Détails

Tu dois voir une mention du type :

  • “Cette signature numérique est valide”
  • Nom de l’éditeur (ou organisation)

Ce que tu veux voir concrètement

  • Signature valide
  • Éditeur cohérent avec le logiciel (pas un nom bizarre sans rapport)
  • Certificat non expiré / non révoqué (Windows le gère en général)

Si la signature est invalide : ne lance pas tant que tu n’as pas compris pourquoi.

Cas fréquents : “pas signé” ne veut pas dire “dangereux”

Beaucoup de petits logiciels, outils open source, scripts, ou utilitaires portables n’ont pas de signature numérique.
Ça peut être normal.

Dans ce cas :

  • privilégie la source officielle (site du projet, dépôt GitHub officiel, store reconnu)
  • vérifie le hash si l’éditeur en publie un
  • évite les miroirs douteux et les sites de “téléchargement” qui re-packagent

Bonus macOS et Linux (une ligne)

Si tu es sur macOS / Linux, vérifier un hash est encore plus direct.

macOS

shasum -a 256 ton-fichier.dmg

Linux

sha256sum ton-fichier.tar.gz

Tu compares le résultat au SHA-256 officiel.

Erreurs classiques et réflexes à adopter

Le hash est différent : causes possibles

  • tu n’as pas la même version (ex : v1.2 vs v1.3)
  • le fichier n’est pas celui annoncé (mauvais lien, miroir)
  • téléchargement incomplet / corrompu
  • le site a été compromis (plus rare sur de grosses plateformes, mais possible)

Dans tous les cas : supprime le fichier et retélécharge depuis une source fiable.

“Le hash correspond, donc c’est 100% safe”

Non. Ça veut juste dire : “tu as le fichier exact attendu par la source”.
Si la source est malveillante, tu as quand même un fichier malveillant… mais c’est beaucoup moins probable si tu télécharges sur un site officiel + signature valide.

Comparer un hash trouvé sur un forum / commentaire

Mauvaise idée. Un hash doit venir :

  • du site officiel
  • d’une documentation officielle
  • d’une release officielle (ex : notes de version, dépôt officiel)

Checklist express avant installation

Avant d’exécuter un fichier téléchargé :

  • Télécharger depuis la source officielle (ou un dépôt officiel)
  • Vérifier le SHA-256 si disponible
  • Vérifier la signature numérique si le fichier est signé
  • Éviter les “download wrappers”, installateurs tiers, sites de téléchargements re-packagés
  • En cas de doute : retélécharger, ou chercher une alternative officielle

Questions Fréquentes

SHA-256, c’est quoi exactement ?

C’est un algorithme de hachage qui transforme un fichier en une empreinte de 64 caractères. Même une micro-modification change complètement l’empreinte.

Si le hash est différent, je fais quoi ?

Tu ne l’exécutes pas. Tu supprimes le fichier, tu retélécharges depuis une source officielle, et tu vérifies que tu compares bien la même version.

Une signature numérique garantit la sécurité ?

Elle garantit surtout l’identité de l’éditeur (certificat) et que le fichier n’a pas été modifié après signature. Ça ne garantit pas “aucun risque”, mais c’est un excellent indicateur de confiance.

Pourquoi certains logiciels n’ont pas de signature ?

Signer coûte de l’argent, demande une organisation, et certains projets open source ou petits éditeurs ne le font pas. Dans ce cas, la confiance repose davantage sur la source officielle + hash publié + réputation du projet.

Continuer votre lecture

Publications similaires :

  1. Fichier AI : Comment l’ouvrir et le convertir selon vos besoins
  2. Réparer un fichier ZIP corrompu : méthodes fiables et outils gratuits
  3. Site photographie : contrat en ligne, application et signature électronique
  4. Reconversion professionnelle : comment réussir grâce à une formation en ligne ?
Mathis

Je suis Mathis , le créateur de DemoniaquePixel. Obsédé par la performance, je décrypte l'univers du high-tech et du jeu vidéo pour en révéler les moindres secrets. Ma quête ? Le pixel parfait et le framerate ultime.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *