Chapitre 22 Utiliser les sommes de contrôle

Durée : Cinq à dix minutes.

Dans la première partie, nous avons évoqué les sommes de contrôle : des « nombres » qui permettent de vérifier l’intégrité d’un fichier (ou de toute autre donnée). Le principe est qu’il est quasiment impossible d’avoir une somme de contrôle identique pour deux fichiers différents. Si, dans une lettre, Ana dit à Bea que sur son site cette dernière peut télécharger un programme qui a pour somme de contrôle SHA256 171a0233a4112858db23621dd5ffa31d269cbdb4e75bc206ada58ddab444651f et que le fichier que Bea télécharge a la même somme de contrôle, alors il est quasiment certain que personne n’a falsifié le programme en chemin. Elle peut donc exécuter ce programme sans trop de craintes.

Il existe plusieurs algorithmes — ou fonctions de hachage — pour faire des sommes de contrôle. Parmi eux :

  • MD5 n’est plus sûr de nos jours et est à proscrire ;
  • SHA-1 était très utilisé jusqu’en 2017, année où a eu lieu une attaque effective sur cet algorithme. Il est de moins en moins utilisé depuis. Il faut l’abandonner ;
  • Ceux de la famille SHA-2 (SHA-224, SHA-256, SHA-384 et SHA-512) sont toujours sûrs en 2022. Nous allons utiliser ici SHA-256, mais la méthode fonctionne aussi avec les autres algorithmes de cette famille.

22.1 Obtenir la somme de contrôle d’un fichier

Que l’on souhaite vérifier l’intégrité d’un fichier, ou permettre à nos destinataires de le faire, il faut calculer la somme de contrôle de ce fichier.

Il est possible d’utiliser un outil graphique tout aussi bien qu’un terminal pour effectuer de tels calculs. Nous n’allons cependant pas détailler l’utilisation d’un terminal ici.

22.1.1 Installer les logiciels nécessaires

S’il n’est pas encore installé, installer le paquet nautilus-gtkhash, puis redémarrer l’ordinateur. Ce paquet est installé par défaut dans Tails.

22.1.2 Calculer la somme de contrôle

Ouvrir Fichiers à partir de la vue d’ensemble des Activités : appuyer sur la touche ( sur un Mac), puis taper fich et cliquer sur Fichiers.

Sélectionner le fichier pour lequel on veut obtenir des sommes de contrôle, puis effectuer un clic-droit dessus. Dans le menu contextuel qui apparaît, choisir Propriétés, puis aller dans l’onglet Empreintes.

De nombreuses Fonctions de hachage sont proposées, avec trois sélections par défaut : MD5, SHA1, SHA256. Si une autre somme de contrôle que celles-ci est nécessaire, cocher la case correspondante. Cliquer sur Hachage. Les sommes de contrôle apparaissent alors dans la colonne Empreinte.

22.2 Vérifier l’intégrité d’un fichier

Il faut obtenir la somme de contrôle du fichier original par un moyen sûr, autre que celui par lequel on reçoit le fichier. Par exemple, si l’on télécharge le fichier, on peut recevoir sa somme de contrôle dans une lettre ou par téléphone — le mieux étant bien sûr de vive voix.

De la même manière, pour permettre à d’autres personnes de vérifier l’intégrité d’un fichier qu’on leur envoie, on leur fait parvenir la somme de contrôle selon les mêmes méthodes.

Enfin, grâce à la méthode expliquée plus haut, calculer la somme de contrôle de notre copie du fichier. Prendre garde à utiliser la même fonction de hachage que celle qui a été utilisée par notre correspondante. Si l’on utilise SHA1 et qu’elle utilise SHA256, on n’aura evidemment pas la même somme de contrôle. Si notre correspondante nous propose plusieurs sommes de contrôle, préférer l’algorithme le plus dur à casser, tel que nous l’avons mentionné au début de ce chapitre.

Vérifier que les deux sommes de contrôle sont identiques — c’est un peu long et fastidieux. C’est souvent plus simple à deux, ou en les collant l’une en-dessous de l’autre dans un fichier texte.