About
Affichage en Français Passer à l'anglais

Calculateur de hash de fichier

Calculez les empreintes MD5, SHA-1, SHA-256 et SHA-512 de n’importe quel fichier — utile pour vérifier un téléchargement par rapport à une somme de contrôle publiée.

Déposez les fichiers ici ou
  1. Déposez un ou plusieurs fichiers dans le cadre en pointillés, ou cliquez sur parcourir.
  2. Cliquez sur Tout hacher — MD5, SHA-1, SHA-256 et SHA-512 sont calculés pour chaque fichier.
  3. Copiez le hash d’une ligne, ou récupérez tous les SHA-256 au format SHA256SUMS en une fois.
  4. Collez une somme publiée dans le champ Vérifier pour savoir quel fichier (le cas échéant) correspond.
Que fait-il ?

L’outil lit votre fichier localement et produit quatre empreintes standard d’un coup — MD5, SHA-1, SHA-256 et SHA-512. Utilisez SHA-256 pour toute nouvelle production ; n’utilisez MD5 ou SHA-1 que si l’éditeur que vous vérifiez les publie encore. Le champ Vérifier accepte toute chaîne hex et vous dit à laquelle des quatre algorithmes (le cas échéant) elle correspond, donc vous n’avez pas besoin de savoir à l’avance lequel a été utilisé.

Exemple

Hacher le fichier ubuntu-24.04.1-desktop-amd64.iso (6 114 656 256 octets) donne :

MD5     e3a5c61d27d541e09ef0e894c514ad54
SHA-1   0bc9a82a4f7fc19f97cefc8a62e5ef10d2d65f80
SHA-256 c2e6f4dbefb08d47d3e3b41e4bcadce9dcebdf3a47f8c08390d6b8b10b35b1ab
SHA-512 bd4a8f30...d14e97c2 (128 hex chars)

Collez la ligne SHA-256 des SHA256SUMS publiés par Ubuntu dans le champ Vérifier, la correspondance doit apparaître.

Pourquoi mon SHA-256 diffère-t-il de celui publié par le serveur ?

Quelques causes fréquentes de hashes qui ne correspondent pas et des limites à connaître :

  • Mauvaise frontière de fichier. Hacher archive.zip vs un fichier qu’il contient donne des empreintes différentes. Les éditeurs hachent en général l’archive externe.
  • Fins de ligne réécrites. Git sur Windows avec core.autocrlf=true change \n en \r\n au checkout, le fichier de travail ne correspond alors plus au hash amont. Checkout avec core.autocrlf=false ou téléchargez le blob brut.
  • Hex vs Base64. sha256sum sort du hex. Certains ETag S3 ou manifestes signés fournissent du Base64. Coller l’un à la place de l’autre échoue toujours.
  • Limites mémoire du navigateur. La famille SHA lit le fichier entier dans un ArrayBuffer, donc un ISO de 4 Go peut faire planter un navigateur mobile. Essayez sur un bureau ou utilisez sha256sum en ligne de commande pour les très gros fichiers.
  • Comparer entre algorithmes. Un SHA-256 (64 caractères hex) n’est pas comparable à un SHA-1 (40 caractères). Faites coïncider la longueur d’algorithme avant même de regarder le contenu.
  • Espaces en fin de collage. Un saut de ligne copié avec l’empreinte hex fait passer la chaîne à 65 caractères au lieu de 64. Rognez avant de comparer.
Questions fréquentes

Quelle est la différence entre MD5, SHA-1, SHA-256 et SHA-512 ?

Ils diffèrent par la longueur de sortie et la résistance aux collisions. MD5 fait 128 bits, SHA-1 160, SHA-256 256, SHA-512 512. MD5 et SHA-1 sont cassés face à des attaques de collision intentionnelles, et ne doivent donc pas être utilisés pour des signatures ou le stockage de mots de passe — mais ils restent corrects pour vérifier un téléchargement accidentellement corrompu. SHA-256 est le standard moderne, SHA-512 est utilisé quand une empreinte plus longue est requise.

Pourquoi mon SHA-256 diffère-t-il de celui publié par le serveur ?

Généralement l’une de trois causes : le fichier a été modifié au téléchargement (un CDN l’a transcodé, un antivirus a ajouté un pied, ou Git a changé les fins de ligne sous Windows) ; l’éditeur a haché l’archive tandis que vous avez haché le fichier extrait (ou l’inverse) ; ou vous comparez du hex à du Base64. Recalculez des deux côtés avec le même outil et vérifiez d’abord la taille — si les octets diffèrent, le hash aussi.

Y a-t-il une limite de taille ?

La limite est la mémoire de votre navigateur, pas l’outil. Ici la famille SHA lit l’intégralité du fichier dans un ArrayBuffer pour la passer à la Web Crypto API, ce qui plafonne pratiquement à quelques Go sur la plupart des ordinateurs et bien moins sur téléphone. MD5 est traité par blocs de 4 Mo et tolère donc de plus gros fichiers, mais le flux global est limité par la mémoire.

Est-ce identique à sha256sum ou PowerShell Get-FileHash ?

Oui. Exécuter sha256sum file.iso sous Linux/macOS ou Get-FileHash -Algorithm SHA256 file.iso dans PowerShell 5+ produit la même empreinte hex en minuscules que cet outil. En cas d’écart, vérifiez que vous hachez les mêmes octets — PowerShell utilise SHA-256 par défaut et sha1sum / md5sum existent pour les autres algorithmes.

Convient-il pour vérifier un téléchargement d’ISO Linux ?

Oui, c’est exactement l’usage prévu. Déposez l’ISO, attendez la fin du SHA-256, et collez la valeur attendue depuis le fichier checksums de la distribution dans « Vérifier avec un hash connu ». Une correspondance prouve que les octets sur disque sont identiques à ceux signés par l’éditeur. Quand c’est possible, vérifiez aussi le fichier checksums lui-même via sa signature (GPG).

Enregistrez-vous les fichiers que je hache ici ?

Non. Nous ne sauvegardons pas le fichier que vous déposez et ne conservons pas le hash produit. Tout est écarté dès que vous fermez ou rechargez la page — aucun journal, aucune trace de ce que vous avez haché. Déposez un fichier sensible en toute confiance et vérifiez dans les outils de développement si vous le souhaitez.