Skip to content

Comment vérifier un téléchargement avec une somme de contrôle

6 min de lecture 13 juin 2026
somme de contrôlesha256intégrité de fichiertéléchargements

Une somme de contrôle est une courte empreinte d'un fichier. Calculez le hash de votre téléchargement, comparez-le à celui publié par le projet, et vous saurez que le fichier est arrivé intact et sans altération.

Comment vérifier un téléchargement avec une somme de contrôle — Hivly

Les projets publient souvent une chaîne de lettres et de chiffres juste à côté d’un lien de téléchargement, étiquetée par exemple SHA-256 ou MD5. La plupart des gens passent dessus sans s’arrêter. Cette chaîne est une somme de contrôle, et elle vous permet de confirmer, en moins d’une minute, que le fichier reçu est exactement celui qui a été publié. Voici comment cela fonctionne et comment vous en servir concrètement.

En résumé : une somme de contrôle est une empreinte de longueur fixe d’un fichier, produite par une fonction de hachage telle que SHA-256. Pour vérifier un téléchargement, calculez le hash de votre copie et comparez-le caractère par caractère à celui publié par le projet. S’ils correspondent, le fichier est arrivé complet et inaltéré. S’ils diffèrent ne serait-ce que d’un caractère, quelque chose a changé et vous ne devez pas faire confiance au fichier.

Ce qu’est réellement une somme de contrôle

Une somme de contrôle est une courte empreinte d’un fichier. Vous faites passer les octets du fichier dans une fonction de hachage, et il en ressort une chaîne de longueur fixe qui représente l’ensemble du fichier. Un hash SHA-256 fait toujours 256 bits, écrits sous la forme de 64 caractères hexadécimaux, que l’entrée soit un fichier texte d’une ligne ou une image disque de plusieurs gigaoctets. La taille du fichier ne change pas la taille de l’empreinte.

L’intérêt de cette empreinte est la comparaison, pas le stockage. Le hash ne contient pas le fichier, et il est bien trop petit pour cela. Ce qu’il vous donne, c’est une valeur que deux personnes peuvent calculer indépendamment et confronter l’une à l’autre. Le projet hache le fichier une fois et publie le résultat. Vous hachez votre copie téléchargée et vous comparez. Même entrée, même fonction de hachage, même sortie, à chaque fois.

C’est pourquoi une somme de contrôle est parfois appelée un condensé. Elle réduit une grande chose à un résumé court et comparable, tout en restant parfaitement reproductible.

Pourquoi les projets publient un hash à côté d’un téléchargement

Les fichiers se dégradent en transit plus souvent qu’on ne le croit. Une connexion qui se coupe en plein téléchargement, un miroir qui sert une copie obsolète, un proxy qui abîme quelques octets, ou un serveur de stockage qui renvoie un fragment corrompu. La somme de contrôle publiée existe pour vous permettre de détecter tout cela. Hachez votre copie, comparez-la à la valeur publiée, et une correspondance vous indique que les octets que vous avez sont bien ceux qui ont été envoyés.

Il y a une seconde raison, plus sérieuse. Un téléchargement peut être remplacé par une version malveillante, sur un miroir compromis ou via une connexion interceptée. Si un attaquant remplace l’installateur mais ne peut pas modifier la somme de contrôle publiée par le projet sur son propre site de confiance, la non-correspondance le trahit. Le hash transforme « j’espère que c’est le vrai fichier » en quelque chose que vous pouvez vérifier.

Ce second cas ne tient que si la somme de contrôle elle-même est digne de confiance, et c’est là que la source du hash commence à compter. Nous y reviendrons plus bas.

Comment vérifier un téléchargement étape par étape

La vérification se déroule en trois étapes : récupérer le hash publié, calculer le hash de votre fichier et les comparer. Trouvez la somme de contrôle sur la page de téléchargement officielle du projet, généralement étiquetée avec l’algorithme. Calculez ensuite le même type de hash sur le fichier que vous avez téléchargé. Comparez enfin les deux chaînes. Si elles sont identiques, le fichier est intact.

Vous pouvez calculer le hash avec une commande intégrée. Sous macOS ou Linux, shasum -a 256 yourfile.iso affiche le condensé SHA-256. Sous Windows, certutil -hashfile yourfile.iso SHA256 fait la même chose. Si vous préférez ne pas toucher à un terminal, vous pouvez déposer le fichier dans un outil de hash et de somme de contrôle de fichier qui s’exécute entièrement dans votre navigateur, de sorte que le fichier n’est jamais téléversé où que ce soit, et lire la valeur SHA-256 à l’écran.

Comparez maintenant. Les hashs sont longs, alors ne vous contentez pas de jeter un œil au milieu et de supposer. Copiez la valeur publiée, copiez votre valeur calculée et vérifiez-les caractère par caractère, ou collez les deux dans un outil qui met en évidence une différence. Un seul caractère qui ne correspond pas signifie que les fichiers ne sont pas les mêmes.

Pourquoi un seul octet modifié casse tout le hash

Les fonctions de hachage sont conçues pour qu’un changement minime de l’entrée bouleverse toute la sortie. Inversez un seul bit dans un fichier de plusieurs gigaoctets et le résultat SHA-256 est complètement différent, sans aucune ressemblance avec le hash d’origine. C’est ce qu’on appelle l’effet d’avalanche, et c’est la propriété qui rend les sommes de contrôle utiles. Il n’existe pas de correspondance « assez proche ». Les hashs sont soit identiques, soit ils ne le sont pas.

Ce comportement du tout ou rien est exactement ce que vous voulez pour la vérification. Vous n’avez jamais à juger à quel point deux hashs diffèrent ni quel niveau de corruption est acceptable. Une correspondance signifie que chaque octet s’aligne. Une non-correspondance, ne serait-ce que d’un caractère, signifie qu’au moins quelque chose diffère, et le hash seul ne vous dit pas s’il s’agit d’un paquet perdu sans gravité ou d’un fichier délibérément modifié. Dans tous les cas, la réponse est la même : ne faites pas confiance à cette copie, téléchargez-la de nouveau.

Cela signifie aussi que vous ne pouvez pas simuler une correspondance en modifiant légèrement le fichier. Il n’existe pas de petit ajustement qui retomberait sur le même hash.

Corruption ou altération, et quel hash utiliser

Pour détecter une corruption accidentelle, presque n’importe quelle fonction de hachage convient, y compris les plus anciennes MD5 et SHA-1. La corruption est aléatoire, donc même une fonction de hachage cassée produira presque certainement une valeur différente pour un fichier abîmé. Si un projet ne propose qu’une somme de contrôle MD5 et que votre objectif est de confirmer que le téléchargement n’a pas été altéré accidentellement, ce MD5 est parfaitement adéquat.

L’altération est une menace différente, car cette fois quelqu’un essaie délibérément de vous tromper. MD5 et SHA-1 sont considérées comme cassées sur le plan de la sécurité, puisque les chercheurs ont montré que des attaquants peuvent construire deux fichiers différents partageant le même hash, ce qu’on appelle une collision. Cela signifie qu’une correspondance de somme de contrôle sur une fonction faible ne garantit plus que le fichier est bien celui que vous vouliez. Pour tout ce où l’authenticité compte, privilégiez SHA-256, qui n’a pas de collision exploitable en pratique et constitue la norme actuelle.

Il y a une couche de plus. Une somme de contrôle prouve seulement que le fichier correspond au hash publié. Si un attaquant contrôle la page, il peut modifier à la fois le fichier et le hash. C’est pourquoi les téléchargements à fort enjeu associent la somme de contrôle à une signature cryptographique, afin que vous puissiez confirmer que le hash lui-même provient bien du projet et non d’un imposteur. La somme de contrôle prouve l’intégrité. La signature prouve qui s’en est porté garant.

Ce qu’une somme de contrôle n’est pas

Une somme de contrôle n’est pas du chiffrement et elle ne cache rien. Le hachage est unidirectionnel : vous ne pouvez pas remonter le processus pour récupérer le fichier, et le hash ne révèle rien sur le contenu. C’est une empreinte, pas un coffre verrouillé. N’importe qui peut calculer le hash d’un fichier qu’il possède déjà, et c’est précisément le but, car c’est ainsi que la vérification fonctionne.

Une somme de contrôle répond donc à une seule question : ce fichier est-il identique à celui qui porte cette empreinte ? Elle ne garde pas le fichier privé, elle ne le protège pas et elle ne le chiffre pas. Si vous avez besoin de confidentialité, c’est le rôle du chiffrement avec une clé, un outil distinct pour un problème distinct. Utilisée pour ce à quoi elle est destinée, une somme de contrôle est un moyen rapide et fiable de confirmer qu’un téléchargement est arrivé entier et inchangé, et cela vaut bien la minute que cela prend.

Try the file toolsView and remove EXIF, strip metadata, check hashes, edit subtitles, make favicons, split files and find duplicates.

Questions fréquentes

Qu'est-ce qu'une somme de contrôle, en termes simples ?
C'est une courte empreinte de longueur fixe d'un fichier, produite par une fonction de hachage comme SHA-256. Le fichier peut être énorme, mais sa somme de contrôle a toujours la même longueur compacte. Si ne serait-ce qu'un seul octet du fichier change, la somme de contrôle change complètement, et c'est ce qui la rend utile pour repérer une corruption ou une altération.
Quelle est la différence entre MD5, SHA-1 et SHA-256 ?
Ce sont des fonctions de hachage différentes qui produisent des empreintes de longueurs différentes. MD5 et SHA-1 sont plus anciennes et considérées comme cassées sur le plan de la sécurité, car des attaquants peuvent fabriquer deux fichiers ayant le même hash. Elles restent convenables pour détecter une corruption accidentelle. SHA-256 produit un hash de 256 bits et constitue la valeur par défaut actuelle pour vérifier l'authenticité.
Une somme de contrôle peut-elle être inversée pour retrouver le fichier d'origine ?
Non. Un hash est unidirectionnel par conception. Vous ne pouvez pas reconstruire le fichier à partir de sa somme de contrôle, et celle-ci est de toute façon bien trop courte pour contenir le fichier. Elle sert uniquement à comparer. Vous calculez le hash de votre copie, vous le confrontez à la valeur publiée et vous vérifiez s'ils correspondent. Elle ne prouve rien d'autre sur le contenu.
Si les hashs ne correspondent pas, que dois-je faire ?
N'exécutez pas et n'ouvrez pas le fichier. Une non-correspondance signifie que votre copie diffère de ce que le projet a publié, que ce soit à cause d'un téléchargement interrompu, d'une erreur réseau ou de quelque chose de plus grave. Supprimez-le et téléchargez-le à nouveau, idéalement depuis la source officielle. Si un nouveau téléchargement ne correspond toujours pas, considérez le fichier comme non fiable.

À lire ensuite

Un projet plus ambitieux ?

Hivly est créé par CodingEagles, un studio logiciel qui livre des applications web de production. Si vous avez un vrai projet, contactez-nous.

Découvrez ce que fait CodingEagles →