Hash SHA-256 : comment prouver l'intégrité d'un fichier (et pourquoi ce n'est pas du chiffrement)
Un hash SHA-256 agit comme une empreinte numérique : si le fichier change, l'empreinte change. Découvrez pourquoi ce n'est pas du chiffrement, comment le vérifier concrètement, et les bonnes pratiques pour une preuve solide.
Quand on doit prouver qu'un fichier n'a pas été modifié (contrat PDF, facture, photo, export CSV, code source, dossier RH…), on tombe rapidement sur une question simple : "Comment montrer que c'est exactement le même fichier ?"
C'est là que le hash (ex. SHA-256) est utile. Il ne "prouve" pas le contenu au sens humain, mais il fournit une empreinte numérique : si le fichier change, l'empreinte change.
Dans cet article : pourquoi hash et chiffrement n'ont rien à voir, une démo facile à reproduire, et les bonnes pratiques pour que la preuve tienne dans le temps (workflow hash, horodatage, archivage, vérification).
Définition simple
Un hash SHA-256 est une empreinte calculée à partir d'un fichier.
- Entrée : n'importe quel fichier (texte, image, PDF, ZIP…)
- Sortie : une chaîne fixe (256 bits, souvent affichée en hexadécimal, soit 64 caractères)
Le hash SHA-256, c'est l'empreinte numérique d'un fichier : si le fichier change, l'empreinte change.
Hash ≠ chiffrement (point clé)
- Chiffrement : transforme un contenu en contenu illisible mais réversible (avec une clé).
- Hash : transforme un contenu en empreinte non réversible (on ne "dé-hashe" pas un fichier).
Le hash ne protège pas la confidentialité : il sert à vérifier l'intégrité.
Un hash (SHA-256) ne chiffre pas un fichier et ne le rend pas "secret". Si vous devez protéger le contenu, utilisez du chiffrement en plus (et gérez la clé).
Comment ça marche
L'idée tient en trois propriétés utiles en pratique :
- Déterministe : même fichier → même hash.
- Très sensible : un seul octet modifié → hash totalement différent.
- Très improbable à "imiter" : trouver un autre fichier qui donne le même hash est considéré comme extrêmement difficile (ce n'est pas une "preuve absolue", mais c'est un pilier de l'intégrité numérique).
Démo conceptuelle
On va créer un fichier, calculer son SHA-256, modifier un caractère, puis recalculer.
- 1Calculez le SHA-256 d'un fichierSur macOS/Linux : `shasum -a 256 monfichier.pdf` ou `sha256sum monfichier.pdf`. Sur Windows : PowerShell `Get-FileHash .\monfichier.pdf -Algorithm SHA256` (ou `CertUtil -hashfile monfichier.pdf SHA256`). Notez la valeur obtenue.
- 2Modifiez le fichier (même minuscule)Exemple : ouvrez un `.txt` et ajoutez un point, ou exportez à nouveau le PDF. Même un changement invisible (métadonnées, ordre interne) peut modifier le hash.
- 3Recalculez le hash et comparezReprenez la même commande. Vous constaterez que le SHA-256 est différent. Conclusion : l'intégrité n'est plus la même (le fichier a changé).
Vérifier l'intégrité d'un fichier, c'est recalculer son hash et vérifier qu'il est identique à la référence.
Petit exemple "visuel" en texte
Imaginons :
contrat_v1.pdf→ SHA-256 =A1B2...9F- Vous changez un caractère (ou une métadonnée) :
contrat_v1_modifie.pdf→ SHA-256 =7C8D...12
Même si les deux PDF "se ressemblent", l'empreinte change : c'est précisément ce qu'on exploite pour l'intégrité.
Le hash permet de comparer sans comparer "à l'œil". Vous n'avez pas besoin d'ouvrir le fichier : vous comparez deux empreintes, ce qui est rapide, automatisable, et fiable pour détecter une altération.
Ce que ça prouve (bien utilisé)
- Que le fichier vérifié aujourd'hui est identique bit à bit à celui qui a produit le hash de référence.
- Qu'il n'y a pas eu de modification (même minime) entre les deux calculs.
Ce que ça ne prouve pas (à savoir)
- La date : un hash seul ne dit pas "quand" le fichier existait (si vous avez un document Word "quelque part", rien n'empêche de l'écrire plus tard).
- Qui a calculé le hash (sans mécanisme d'authentification/traçabilité).
- Le sens du contenu (un hash ne dit pas "ce contrat est valide", seulement "ce fichier est identique").
Pour associer une date à l'empreinte (et donc renforcer l'antériorité), on ajoute un horodatage : vous "ancrez" le hash dans un système d'horodatage (par exemple via un service comme LegalStamp, pouvant s'appuyer sur des ancrages blockchain type OpenTimestamps/Bitcoin). On obtient alors : intégrité + repère temporel.
Bonnes pratiques
Checklist simple pour des preuves plus robustes :
- Conserver le fichier original (ne pas le ré-enregistrer si possible).
- Calculer le hash sur une version finale (ex : PDF "figé", export final).
- Stocker le hash dans un format copiable (texte brut) et idéalement horodaté.
- Associer le hash à des métadonnées utiles : nom du fichier, taille, type, contexte, identifiant interne.
- Éviter les formats qui changent à chaque sauvegarde (certains outils modifient des métadonnées automatiquement).
- Mettre en place une procédure de vérification (qui, quand, comment, où stocké).
- Pour l'antériorité : horodater le hash et archiver la preuve d'horodatage (workflow : hash → horodatage → archivage → vérification).
- Pour la confidentialité : si nécessaire, chiffrer le fichier séparément (le hash seul ne protège pas le contenu).
FAQ
Conclusion
Le hash SHA-256 répond à une question simple : "Ce fichier est-il resté identique ?" Il ne chiffre pas, ne prouve pas une date, et ne dit rien sur la validité juridique du contenu. Il vous donne une empreinte vérifiable, point.
Si vous avez aussi besoin de prouver quand un fichier existait, ajoutez un horodatage. Le workflow complet : hash, horodatage, archivage, vérification. LegalStamp gère ce process pour que vous n'ayez pas à le reconstruire à chaque fois.
Disclaimer (information générale) : cet article est fourni à des fins pédagogiques et ne constitue pas un avis juridique. Selon votre contexte (litige, conformité, preuve en justice), les exigences peuvent varier ; en cas d'enjeu important, faites valider votre démarche par un professionnel compétent.
Jeremy
Fondateur de LegalStamp, passionne par la blockchain et la protection des creations.
