Linux : vérifier l’intégrité d’un fichier (SHA256, SHA1, MD5…)

Vous avez téléchargé l’image ISO d’un système d’exploitation (Ubuntu, Debian…), une archive volumineuse ou un fichier important depuis Internet, et vous souhaitez vous assurer qu’il n’a pas été altéré durant le téléchargement ? Très bon réflexe : vérifier l’intégrité d’un fichier permet d’éviter les mauvaises surprises, comme un fichier qui aurait été corrompu pendant le téléchargement ou modifié de manière malveillante.

Pourquoi est-ce important ? Parce qu’en comparant l’empreinte numérique du fichier (également appelée somme de contrôle ou « checksum ») à celle communiquée par la source officielle, vous vous assurez que le fichier est bien authentique, complet et qu’il n’a pas été altéré en chemin. Cela permet de se prémunir contre les erreurs de transfert et les tentatives de piratage.

Sous Linux, cette vérification se fait généralement à l’aide d’un terminal, grâce à quelques commandes simples. Ces empreintes peuvent être de type MD5, SHA-1, SHA-256 ou même SHA-512.

Dans ce tutoriel, nous allons voir comment calculer l’empreinte d’un fichier avec différentes fonctions de hachage (SHA-256, SHA-1, MD5…) sur Linux, pour s’assurer de son intégrité et l’utiliser en toute sénérité.

Table des matières

Vérifier l’intégrité et l’empreinte (SHA256, SHA1, MD5…) d’un fichier sur Linux

Chaque distribution Linux (Ubuntu, Debian, Fedora…) inclut par défaut des outils en ligne de commande permettant de générer et vérifier des empreintes numériques à l’aide de différents algorithmes comme MD5, SHA-1, SHA-256 ou SHA-512. Ces outils sont accessibles directement depuis un terminal, sans qu’il soit nécessaire d’installer quoi que ce soit.

Voici comment procéder :

Pour commencer, il vous faut la somme de contrôle officielle du fichier que vous avez téléchargé. Celle-ci est généralement disponible sur le site web de l’éditeur, souvent sur la même page que le lien de téléchargement ou dans un fichier .sha256, .sha1 ou .md5.
Par exemple, pour les images ISO d’Ubuntu 24.04 LTS, les sommes de contrôle sont disponibles dans un fichier SHA256SUMS (et également SHA1SUMS et MD5SUMS pour les versions précédentes d’Ubuntu) à côté des fichiers ISO :

Si vous avez téléchargé l’image ISO depuis une autre source, par exemple sur Le Crabe Info, vous trouverez la somme de contrôle (SHA-256) directement sur la page de téléchargement :
Ouvrez un terminal (Ctrl + Alt + T dans la plupart des distributions), puis utilisez la commande cd pour aller dans le dossier où se trouve le fichier que vous voulez vérifier :
Bash
```
cd ~/Téléchargements
```
Utilisez ensuite l’une des commandes suivantes selon l’algorithme que vous souhaitez utiliser pour calculer l’empreinte du fichier :
- Pour SHA-256 :
  Bash
```
sha256sum nom_du_fichier.iso
```
- Pour SHA-1 :
  Bash
```
sha1sum nom_du_fichier.iso
```
- Pour MD5 :
  Bash
```
md5sum nom_du_fichier.iso
```
Note : d’autres commandes et algorithmes sont pris en charge sur Linux, même s’ils sont moins fréquemment utilisés. Quelques exemples : sha512sum (SHA-512), b2sum (BLAKE2), whirlpoolsum (Whirlpool), etc.
La commande retourne une chaîne de caractères représentant l’empreinte du fichier. Par exemple, avec le fichier ubuntu-24.04.2-desktop-amd64.iso :
```
d7fe3d6a0419667d2f8eff12796996328daa2d4f90cd9f87aa9371b362f987bf ubuntu-24.04.2-desktop-amd64.iso
```
Pour comparer la chaîne obtenue avec celle fournie par l’éditeur et vérifier que les deux sont identiques, assurez-vous que le fichier ISO et le fichier SHA256SUMS sont dans le même répertoire, puis lancez :
Bash
```
sha256sum -c SHA256SUMS
```
Bien sûr, adaptez la commande selon la fonction de hachage et le nom du fichier contenant les sommes de contrôle. Par exemple, avec SHA-1 :
Bash
```
sha1sum -c sha1sums.txt
```
Si le terminal affiche « OK », vous pouvez être sûr que le fichier que vous avez téléchargé est sain et intègre. Si les empreintes ne correspondent pas, le terminal affichera « FAILED », ce qui signifie que le fichier a été altéré. Cela peut être causé par une erreur lors du téléchargement (fichier incomplet ou corrompu) ou une modification intentionnelle (ex : attaque ou fichier frauduleux). Dans ce cas, supprimez le fichier et téléchargez-le à nouveau depuis une source fiable.
Vous pouvez aussi vérifier plusieurs fichiers en une seule commande. Placez-vous dans le dossier contenant les fichiers, puis exécutez une des commandes suivantes :
Bash
```
sha256sum fichier_1.iso fichier_2.iso fichier_3.iso

sha256sum *.iso
```

C’est terminé : vous savez maintenant comment calculer l’empreinte (SHA-256, SHA-1, MD5…) d’un fichier sur Linux !

Générer un fichier sommes de contrôle (SHA256SUMS, SHA1SUMS, MD5SUMS…)

Si vous disposez d’un fichier que vous avez déjà vérifié, il peut être utile de générer un fichier de sommes de contrôle associé. Cela vous permettra de vérifier facilement l’intégrité du fichier plus tard, même s’il a été copié à plusieurs endroits.

Pour cela, utilisez la commande suivante (pour SHA-256, à adapter selon la fonction de hachage souhaitée) :

Bash

sha256sum mon_fichier.iso > SHA256SUMS

Ce fichier SHA256SUMS contiendra l’empreinte SHA-256 du fichier. Plus tard, pour vérifier que ce dernier est toujours intègre, il vous suffira de placer le fichier SHA256SUMS dans le même dossier que le fichier à vérifier, puis d’exécuter :

Bash

sha256sum -c SHA256SUMS

Si vous souhaitez ajouter un nouveau checksum au fichier SHA256SUMS, vous pouvez utiliser l’option >> au lieu de >, afin d’ajouter l’empreinte sans écraser les précédentes :

Bash

sha256sum nouveau_fichier.iso >> SHA256SUMS

Liens connexes

Et si vous avez deux petites minutes devant vous...

Laissez-nous un avis sur Trustpilot ou sur notre page Facebook (ou les deux ), cela nous aiderait beaucoup !

Évaluez-nous sur Évaluez-nous sur Facebook

Aucun commentaire

Vous avez un compte sur community.lecrabeinfo.zoneani.me ?

Continuer avec Invision Community

Enregistrer mon nom, mon e-mail et mon site dans le navigateur pour mon prochain commentaire.

Formulaire protégé par reCAPTCHA. Les Règles de confidentialité et les Conditions d'utilisation de Google s'appliquent.