Hash SHA-256 : comment prouver l'intégrité d'un fichier (et pourquoi ce n'est pas du chiffrement)
Un hash SHA-256 agit comme une empreinte numérique : si le fichier change, l'empreinte change. Découvrez pourquoi ce n'est pas du chiffrement, comment le vérifier concrètement, et les bonnes pratiques pour une preuve solide.
Quand on doit prouver qu'un fichier n'a pas été modifié (contrat PDF, facture, photo, export CSV, code source, dossier RH…), on se heurte vite à une question simple : "Comment démontrer que c'est exactement le même fichier ?"
C'est là que le hash (ex : SHA-256) devient précieux. Il ne "prouve" pas le contenu au sens humain, mais il fournit une empreinte numérique : si le fichier change, l'empreinte change.
Dans ce guide, on clarifie hash ≠ chiffrement, on fait une démo conceptuelle (facile à reproduire), puis on termine par des bonnes pratiques pour que votre preuve tienne mieux dans le temps — notamment via un workflow type hash → horodatage → archivage → vérification (comme le propose LegalStamp).
Définition simple
Un hash SHA-256 est une empreinte calculée à partir d'un fichier.
- Entrée : n'importe quel fichier (texte, image, PDF, ZIP…)
- Sortie : une chaîne fixe (256 bits, souvent affichée en hexadécimal, soit 64 caractères)
Le hash SHA-256, c'est l'empreinte numérique d'un fichier : si le fichier change, l'empreinte change.
Hash ≠ chiffrement (point clé)
- Chiffrement : transforme un contenu en contenu illisible mais réversible (avec une clé).
- Hash : transforme un contenu en empreinte non réversible (on ne "dé-hashe" pas un fichier).
Le hash ne protège pas la confidentialité : il sert à vérifier l'intégrité.
Un hash (SHA-256) ne chiffre pas un fichier et ne le rend pas "secret". Si vous devez protéger le contenu, utilisez du chiffrement en plus (et gérez la clé).
Comment ça marche
L'idée tient en trois propriétés utiles en pratique :
- Déterministe : même fichier → même hash.
- Très sensible : un seul octet modifié → hash totalement différent.
- Très improbable à "imiter" : trouver un autre fichier qui donne le même hash est considéré comme extrêmement difficile (ce n'est pas une "preuve absolue", mais c'est un pilier de l'intégrité numérique).
Démo conceptuelle
On va créer un fichier, calculer son SHA-256, modifier un caractère, puis recalculer.
- 1Calculez le SHA-256 d'un fichierSur macOS/Linux : `shasum -a 256 monfichier.pdf` ou `sha256sum monfichier.pdf`. Sur Windows : PowerShell `Get-FileHash .\monfichier.pdf -Algorithm SHA256` (ou `CertUtil -hashfile monfichier.pdf SHA256`). Notez la valeur obtenue.
- 2Modifiez le fichier (même minuscule)Exemple : ouvrez un `.txt` et ajoutez un point, ou exportez à nouveau le PDF. Même un changement invisible (métadonnées, ordre interne) peut modifier le hash.
- 3Recalculez le hash et comparezReprenez la même commande. Vous constaterez que le SHA-256 est différent. Conclusion : l'intégrité n'est plus la même (le fichier a changé).
Vérifier l'intégrité d'un fichier, c'est recalculer son hash et vérifier qu'il est identique à la référence.
Petit exemple "visuel" en texte
Imaginons :
contrat_v1.pdf→ SHA-256 =A1B2...9F- Vous changez un caractère (ou une métadonnée) :
contrat_v1_modifie.pdf→ SHA-256 =7C8D...12
Même si les deux PDF "se ressemblent", l'empreinte change : c'est précisément ce qu'on exploite pour l'intégrité.
Le hash permet de comparer sans comparer "à l'œil". Vous n'avez pas besoin d'ouvrir le fichier : vous comparez deux empreintes, ce qui est rapide, automatisable, et fiable pour détecter une altération.
Ce que ça prouve (bien utilisé)
- Que le fichier vérifié aujourd'hui est identique bit à bit à celui qui a produit le hash de référence.
- Qu'il n'y a pas eu de modification (même minime) entre les deux calculs.
Ce que ça ne prouve pas (à savoir)
- La date : un hash seul ne dit pas "quand" le fichier existait (si vous avez un document Word "quelque part", rien n'empêche de l'écrire plus tard).
- Qui a calculé le hash (sans mécanisme d'authentification/traçabilité).
- Le sens du contenu (un hash ne dit pas "ce contrat est valide", seulement "ce fichier est identique").
Pour associer une date à l'empreinte (et donc renforcer l'antériorité), on ajoute un horodatage : vous "ancrez" le hash dans un système d'horodatage (par exemple via un service comme LegalStamp, pouvant s'appuyer sur des ancrages blockchain type OpenTimestamps/Bitcoin). On obtient alors : intégrité + repère temporel.
Bonnes pratiques
Checklist simple pour des preuves plus robustes :
- [ ] Conserver le fichier original (ne pas le ré-enregistrer si possible).
- [ ] Calculer le hash sur une version finale (ex : PDF "figé", export final).
- [ ] Stocker le hash dans un format copiable (texte brut) et idéalement horodaté.
- [ ] Associer le hash à des métadonnées utiles : nom du fichier, taille, type, contexte, identifiant interne.
- [ ] Éviter les formats qui changent à chaque sauvegarde (certains outils modifient des métadonnées automatiquement).
- [ ] Mettre en place une procédure de vérification (qui, quand, comment, où stocké).
- [ ] Pour l'antériorité : horodater le hash et archiver la preuve d'horodatage (workflow : hash → horodatage → archivage → vérification).
- [ ] Pour la confidentialité : si nécessaire, chiffrer le fichier séparément (le hash seul ne protège pas le contenu).
FAQ
1) Pourquoi SHA-256 et pas MD5 ?
MD5 est historiquement populaire mais n'est plus recommandé pour des usages de sécurité/robustesse d'intégrité dans des contextes exigeants. SHA-256 est plus moderne et largement utilisé.
2) Est-ce qu'un hash prouve que personne ne peut falsifier ?
Il renforce fortement la détection de modification, mais une preuve "complète" dépend du contexte et de la procédure. On évite de parler de "preuve absolue".
3) Si je compresse le fichier (ZIP), le hash reste le même ?
Non. Le hash porte sur les octets exacts. Un ZIP du même contenu est un autre fichier → hash différent.
4) Deux fichiers différents peuvent-ils avoir le même SHA-256 ?
En théorie, il existe des collisions pour toute fonction de hash. En pratique, avec SHA-256, c'est considéré comme extrêmement improbable et on l'utilise précisément pour sa robustesse.
5) Est-ce que je peux retrouver le fichier à partir du hash ?
Non. Un hash n'est pas réversible : c'est une empreinte, pas un chiffrement.
6) Le hash suffit-il pour prouver une date ?
Non. Le hash prouve l'intégrité, pas la date. Pour la date, il faut un horodatage (et conserver la preuve associée).
7) Est-ce que je révèle le contenu de mon fichier en partageant son hash ?
En général, non : le hash ne contient pas le contenu. Mais si le fichier est très prévisible (texte court, données connues), quelqu'un pourrait calculer le hash du même document et constater que c'est identique. Si la confidentialité est critique, chiffrez et contrôlez les partages.
8) Comment LegalStamp s'insère dans le processus ?
Un usage courant : vous importez un fichier, LegalStamp calcule son hash, l'horodate, puis vous archivez la preuve. Plus tard, vous pouvez vérifier qu'un fichier correspond bien au hash horodaté (intégrité) et montrer qu'il existait à une date (repère temporel).
Conclusion
Le hash SHA-256 est l'outil le plus simple pour répondre à une question cruciale : "Ce fichier est-il resté identique ?" Il ne chiffre pas, ne donne pas une date, et ne dit rien sur la validité juridique du contenu — mais il fournit une empreinte robuste et facilement vérifiable.
Si votre objectif inclut aussi l'antériorité (prouver qu'un fichier existait à un moment donné), adoptez le workflow hash → horodatage → archivage → vérification. C'est exactement ce que LegalStamp propose pour rendre le processus simple, traçable et réutilisable.
Disclaimer (information générale) : cet article est fourni à des fins pédagogiques et ne constitue pas un avis juridique. Selon votre contexte (litige, conformité, preuve en justice), les exigences peuvent varier ; en cas d'enjeu important, faites valider votre démarche par un professionnel compétent.
