Mes fichiers sont-ils téléversés pendant le hash ?

Non, vos fichiers ne sont pas téléversés. Le pipeline de hashing s'exécute entièrement en local dans un Web Worker, aucun octet ne part vers un serveur. Vous pouvez le vérifier dans les DevTools du navigateur — l'onglet Network reste vide une fois la page chargée. Même architecture que les autres outils pure-client du site.

Pourquoi les fichiers de plus de 2 Go fonctionnent-ils chez vous et pas ailleurs ?

L'API standard du navigateur pour le hashing ([SubtleCrypto.digest](https://developer.mozilla.org/fr/docs/Web/API/SubtleCrypto/digest)) exige un seul ArrayBuffer en entrée — pas de streaming. Firefox refuse donc les ArrayBuffer de plus de 2 Go avec une TypeError ; c'est documenté plusieurs fois sur GitHub comme un crash. Nous contournons cela en lisant les octets via [`File.stream()`](https://developer.mozilla.org/fr/docs/Web/API/Blob/stream) par chunks de 64 Ko que nous passons à une couche de hashing [WASM](https://developer.mozilla.org/fr/docs/WebAssembly) incrémentale. Tous les octets ne sont jamais simultanément en RAM.

Quel algorithme pour quel usage ?

SHA-256 est le standard de facto pour la distribution logicielle — si un éditeur publie un seul hash, c'est généralement celui-ci. SHA-512 est souvent utilisé pour les distributions Linux et les téléchargements gouvernementaux, parce qu'un digest plus long laisse moins d'espace de collision. BLAKE3 est une alternative moderne — plus rapide que SHA-256 et cryptographiquement sûre, mais standard plus récent. SHA-1 et MD5 sont encore acceptables pour des contrôles d'intégrité purs (objets Git ou hashs de cache), mais ne sont plus recommandés pour les vérifications relevant de la sécurité — l'outil affiche cet avertissement visiblement.

Que faire si la somme de contrôle ne correspond pas ?

Écartez d'abord les causes les plus fréquentes avant de soupçonner une manipulation. La bannière affiche « le hash ne correspond pas » et, en dessous, une vue diff : valeurs attendue et calculée côte à côte, chaque caractère divergent surligné. Plus fréquents qu'une manipulation : erreurs de transmission, hashs mal copiés (espaces, casse — que nous normalisons en interne), ou un hash publié qui correspond à une autre version du fichier. Comparez le hash attendu avec une source indépendante (notes de version, entrées de mailing-list signées) avant de conclure à une manipulation.

Qu'est-ce qu'un fichier de somme de contrôle (.sha256, .md5) ?

Un fichier de somme de contrôle (ou « sidecar ») est un petit fichier texte contenant un hash et, en option, un nom de fichier — extensions typiques : .sha256, .sha256sum, .sha512, .sha1, .md5, .md5sum, .blake3. Les distributeurs en livrent souvent un à côté du téléchargement. Déposez simplement un tel fichier dans la zone sidecar ; hash et algorithme sont reconnus depuis l'extension — vous n'avez rien à saisir. Sont pris en charge le format GNU coreutils (` `), le format binaire OpenSSL (` * `) et les fichiers ne contenant que le hash.

Quelle est la taille maximale d'un fichier ?

Théoriquement limitée seulement par votre chemin de lecture disque/fichier. En pratique, le chemin streaming est testé jusqu'à 4 Go ; au-delà, c'est techniquement possible mais long et risqué selon la pression mémoire de l'onglet. L'empreinte mémoire reste basse parce que le fichier est lu en chunks — le crash d'onglet que certains outils déclenchent sur de gros fichiers ne devrait pas se produire ici.

La casse compte-t-elle dans la comparaison de hash ?

En général, non. Les hashs sont des nombres hex purs — `ABC123` et `abc123` représentent la même valeur. Certains serveurs (par ex. anciennes stacks ColdFusion) renvoient les hashs en majuscules, GNU coreutils en minuscules. Un compare-chaîne naïf signalerait alors à tort « différent ». La fonction de comparaison trime les espaces et normalise la casse en minuscules avant de tester l'égalité.

À quoi sert l'export CSV ?

Quand vous hashez un dossier avec beaucoup de fichiers, vous obtenez un tableau ligne par fichier avec nom, taille et tous les hashs sélectionnés. L'export CSV écrit ce tableau dans un fichier UTF-8 BOM (s'ouvre proprement dans Excel), avec quoting conforme RFC 4180 et une colonne par algorithme. Usage : pistes d'audit pour routines de sauvegarde, génération de manifest distributeur ou simplement « je veux archiver tous les SHA-256 de mon dossier photos ».

Un hash correct prouve-t-il que le fichier est sûr ?

Non — et c'est le point le plus important. Un hash correct prouve seulement que le fichier est inchangé depuis la publication du hash. Si l'éditeur lui-même a été compromis (par ex. infrastructure serveur piratée), même un hash correct n'apporte pas de confiance — l'attaquant aurait remplacé fichier et hash simultanément. Comparez donc le hash avec une source **indépendante** (notes de version, entrées de mailing-list signées, gestionnaire de paquets officiel), pas seulement la valeur affichée à côté du téléchargement.

Vérificateur de hash de fichier

Comment l’outil vérifie-t-il l’intégrité des fichiers ?

Une fonction de hash cryptographique projette toute entrée — qu’elle fasse 12 octets ou 12 gigaoctets — sur une courte valeur hex de longueur fixe. Si un seul octet change en entrée, le hash change presque entièrement. Cela fait des hashs la méthode standard pour l’intégrité : un éditeur publie le hash d’un fichier, vous le recalculez localement après téléchargement, et si les deux valeurs coïncident, le fichier est inchangé depuis la publication.

Nous calculons dans le navigateur via une couche de hashing accélérée par WASM, incrémentale. Incrémentale signifie : le fichier n’est pas chargé d’un coup en RAM ; il est lu en chunks de 64 Ko via File.stream() et passé pas à pas au hasher. À la fin, une seule valeur hex en sort. C’est ce pipeline qui permet les fichiers de plus de 2 Go — l’API standard du navigateur n’y parvient pas.

Que signifient SHA-256, SHA-512, MD5, SHA-1 et BLAKE3 ?

SHA-2 est la famille de fonctions cryptographiques spécifiée par le NIST américain dans le standard FIPS 180-4. SHA-256 produit un digest de 256 bits (64 caractères hex) et est aujourd’hui le standard de facto pour les releases logicielles, les téléchargements d’ISO Linux, les images de conteneurs et les blockchains. SHA-512 est la variante longue à digest de 512 bits (128 caractères hex) — même construction mathématique, espace de sortie plus grand.

SHA-1 (160 bits, 40 caractères hex) et MD5 (128 bits, 32 caractères hex) sont plus anciens. MD5 a été déclaré cryptographiquement cassé en 2004, SHA-1 en 2017. Pour des contrôles d’intégrité purs (objets Git, clés de cache, versionnement de fichiers) ils sont encore acceptables ; pour les vérifications de sécurité — partout où un attaquant doit pouvoir forger un autre fichier de même hash — non.

BLAKE3 est un standard moderne de 2020. Il produit un digest de 256 bits comme SHA-256, mais est nettement plus rapide, cryptographiquement sûr et parallélisable. Il est adopté de plus en plus dans les outils de build et les content-addressable stores. Pour les téléchargements distributeurs, il n’est pas encore le standard de facto, mais reste pertinent — nous le proposons à qui en a besoin.

Quand quel algorithme est-il le bon choix ?

Si l’éditeur publie un seul hash sans préciser l’algorithme, déduisez-le de la longueur hex : 32 caractères = MD5, 40 = SHA-1, 64 = SHA-256 (ou plus rarement BLAKE3 — généralement précisé dans un sidecar ou une note distributeur), 128 = SHA-512. L’outil détecte la longueur automatiquement et propose l’algorithme adapté ; à 64 caractères, un toggle SHA-256/BLAKE3 apparaît car les deux produisent 64 caractères.

En génération, la recommandation est pragmatique : SHA-256 suffit partout pour le contrôle d’intégrité moderne. En conformité d’audit ou contexte administratif, on ajoute SHA-512. BLAKE3 vaut le coup si le destinataire le comprend aussi (sinon, le hash plus rapide est inutile). MD5 et SHA-1 ne sont générés que si la partie réceptrice l’exige explicitement — par ex. anciens pipelines CI ou formats de manifest legacy.

Calculer plusieurs algorithmes en parallèle ne coûte que +5 à 15 % de temps par algo, car les octets ne sont lus qu’une fois — utile quand on ne sait pas lequel le destinataire attend.

En quoi diffèrent Générer, Vérifier et Comparer ?

Générer est le mode « j’ai besoin de nouveaux hashs ». Un ou plusieurs fichiers en entrée, tous les algorithmes sélectionnés sont calculés en parallèle, le résultat est un tableau avec une ligne par fichier. Utile pour la création de manifests distributeur, listes d’audit de sauvegarde ou simplement pour obtenir le SHA-256 d’un fichier. L’export CSV écrit le tableau dans un format directement ouvrable dans Excel.

Vérifier est le mode « ce fichier correspond-il à ce hash attendu ? » Un fichier plus une valeur attendue (collée ou par drop de sidecar) — l’outil calcule, compare et affiche une bannière de match ou de mismatch avec diff surligné. Précisément le cas d’usage derrière le terme « vérificateur de hash de fichier » et qui chez la concurrence reste souvent secondaire voire absent.

Comparer est le mode « ces deux fichiers sont-ils vraiment identiques ? » Deux fichiers en entrée, tous deux hashés en parallèle pour les algorithmes choisis, le résultat est une bannière (« fichiers identiques » ou « fichiers différents ») plus un tableau par algorithme. Utile après restauration, retéléchargement, migration de disque ou comparaison de sync cloud.

Pourquoi les très gros fichiers fonctionnent-ils ici et pas ailleurs ?

L’API standard du navigateur attend le fichier entier comme un seul objet mémoire. Sur Firefox, cette API refuse les entrées de plus de 2 Go avec une TypeError — très concrètement documenté dans des trackers open-source où des outils de sauvegarde ou de synchronisation crashent sur de gros fichiers médias. Les autres navigateurs ont le même problème à des degrés divers, parce que la limite mémoire d’un onglet finit par être atteinte.

Nous contournons cela avec un hasher WebAssembly incrémental : init() démarre un état neuf, update(chunk) l’alimente avec le chunk suivant, digest() clôt et fournit la valeur hex. Le chemin de lecture utilise File.stream().getReader(), API navigateur standard, qui livre les octets en flux sans charger en RAM. La consommation mémoire reste sous 100 Mo, que le fichier fasse 100 Mo ou 100 Go.

À quoi l’outil convient-il — et à quoi non ?

Convient : vérification de téléchargement logiciel contre des hashs publiés, validation post-restauration, génération de manifest distributeur, vérification de sync cloud, aide forensique pour « ce fichier est-il vraiment celui que j’avais il y a deux semaines ? », listes d’audit rapides pour dossiers photo/vidéo.

Ne convient pas : authentification (c’est HMAC + clé, pas hash de fichier), stockage de mots de passe (c’est Argon2/bcrypt/scrypt), protection contre un éditeur compromis (voir disclaimer ci-dessous), preuve de sécurité unique avec MD5 ou SHA-1 (plus recommandés pour les vérifications de sécurité).

Avertissement important sur la vérification de hash : un hash correct prouve seulement que le fichier est inchangé depuis la publication du hash — il ne prouve pas que la source est digne de confiance. Comparez donc le hash avec une source indépendante (notes de version, entrées de mailing-list signées, gestionnaire de paquets officiel), pas seulement la valeur affichée à côté du téléchargement.

Quels outils s’y rapportent ?

Dans l’écosystème kittokit, thème vérification de fichiers et intégrité des données :

Générateur de hash — hashe du texte au lieu de fichiers. Utile pour mots de passe, tests JWT secret ou hashs d’API.
Décodeur JWT — décoder les JSON Web Tokens, utile pour la vérification de tokens signés (complémentaire des hashs de fichiers).
Générateur d’UUID — produire des identifiants uniques, utile pour ses propres manifests ou jeux de données de test.

Vérificateur de hash de fichier

Comment ça marche

Choisir le mode

Cocher les algorithmes

Déposer les fichiers et lancer

Confidentialité

Comment utiliser cet outil ?