Vous venez de télécharger une image ISO, un logiciel ou n'importe quel fichier depuis Internet. Comment savoir s'il est bien authentique, et qu'il n'a pas été modifié en chemin ou sur le serveur ? C'est là qu'entrent en jeu les techniques de vérification d'intégrité. Ce tutoriel vous guide à travers deux méthodes complémentaires, des plus simples aux plus robustes.

Prérequis : savoir ouvrir un terminal et exécuter des commandes de base. La méthode GPG suppose une légère familiarité avec les concepts de clés publiques.

La méthode de l'empreinte (hash)

Comment ça fonctionne

Quand un fournisseur publie un fichier, il calcule son empreinte numérique (aussi appelée hash ou somme de contrôle) avec une fonction mathématique spécialisée. Cette empreinte est une suite de caractères unique : la "carte d'identité" du fichier. Si le fichier est modifié, même d'un seul octet, l'empreinte change radicalement.

Pour vérifier votre fichier, vous recalculez cette empreinte de votre côté et vous comparez le résultat avec celui fourni par le distributeur. Simple, rapide et efficace.

Algorithme Longueur de l'empreinte Fiabilité Recommandé
MD5 32 caractères Obsolète, cassé Non
SHA-1 40 caractères Obsolète, cassé Non
SHA-256 64 caractères Solide Oui
SHA-512 128 caractères Très solide Oui
BLAKE2 Variable Excellent Oui
⚠️
MD5 et SHA-1 sont considérés comme cryptographiquement cassés depuis plusieurs années. Si un fournisseur ne propose que MD5 ou SHA-1, vous pouvez tout de même vérifier l'empreinte, mais traitez ce fichier avec prudence.

Outils nécessaires

Sur Debian 13 Trixie, Ubuntu et leurs dérivés, les outils sha256sum, sha512sum, md5sum... font partie du paquet coreutils, installé par défaut. Si ce n'est pas le cas sur votre système :

sudo apt install coreutils

Sur d'autres distributions :

Distribution Commande d'installation
Arch Linux / Manjaro sudo pacman -S coreutils
Fedora / Red Hat sudo dnf install coreutils
openSUSE sudo zypper install coreutils

Vérifier une empreinte manuellement

Prenons un exemple concret : vous avez téléchargé monfichier.iso dans votre dossier Téléchargements. Le fournisseur indique que son empreinte SHA-256 est 43b796f15f57192dd813306938d199871d9d8b881c0124b43412d81585c0efd5.

Dans un terminal :

cd ~/Téléchargements
sha256sum monfichier.iso

Résultat attendu :

43b796f15f57192dd813306938d199871d9d8b881c0124b43412d81585c0efd5  monfichier.iso

Comparez cette valeur avec celle du fournisseur : - Identiques : le fichier est intact. - Différentes : le fichier est altéré ou corrompu. Retéléchargez-le, de préférence depuis un miroir différent.

Pour les empreintes SHA calculées avec d'autres variantes, la commande change selon l'algorithme :

sha224sum monfichier.iso
sha384sum monfichier.iso
sha512sum monfichier.iso
💡
Si le fournisseur ne propose qu'une empreinte MD5, utilisez md5sum monfichier.iso. La logique de comparaison est identique.

Vérifier avec un fichier de sommes de contrôle

La plupart des distributeurs sérieux fournissent un fichier dédié contenant les empreintes de leurs différentes publications. Ce fichier porte souvent un nom comme SHA256SUMS, sha256sum.txt ou monfichier.iso.sha256.

Téléchargez ce fichier dans le même dossier que votre ISO, puis lancez :

sha256sum -c SHA256SUMS

Si votre ISO y figure, vous verrez :

monfichier.iso: Réussi

En cas d'échec :

monfichier.iso: Échec
sha256sum: Attention : 1 somme de contrôle ne correspond pas
💡
Si le fichier de sommes contient de nombreuses lignes (une par fichier ou par variante), sha256sum tente de vérifier toutes les entrées. Les fichiers absents de votre dossier affichent un avertissement "Aucun fichier ou dossier de ce type" : c'est tout à fait normal, ignorez-les.

La méthode de la signature numérique (GPG)

Ce que ça apporte en plus

La vérification par empreinte vous confirme que le fichier n'a pas été altéré. Mais elle ne prouve pas qui l'a publié. Si un attaquant compromet le serveur et modifie à la fois le fichier et son empreinte, vous ne verrez rien d'anormal.

La signature numérique résout ce problème. Elle lie mathématiquement une clé privée (que seul le fournisseur possède) au fichier. Vous vérifiez ensuite avec sa clé publique que c'est bien lui qui a signé. Si quelqu'un modifie le fichier ou son empreinte, la vérification échoue systématiquement.

C'est la protection 2-en-1 : intégrité et authenticité.

💡
Pour mieux comprendre le fonctionnement de GPG et de la cryptographie asymétrique, consultez notre article sur PGP/GPG.

Outils nécessaires

Sur Debian 13 Trixie et la plupart des environnements de bureau, GnuPG est installé par défaut. Pour vérifier :

gpg --version

Si la commande est introuvable :

sudo apt install gnupg
💡
Sur Debian 13 Trixie (sorti en août 2025), gpg et gpg2 pointent tous deux vers GnuPG 2.x. Vous pouvez utiliser l'un ou l'autre indifféremment. gpg est désormais la commande de référence.

Sur d'autres distributions :

Distribution Commande d'installation
Arch Linux / Manjaro sudo pacman -S gnupg
Fedora / Red Hat sudo dnf install gnupg2
openSUSE sudo zypper install gpg2

Comprendre le format d'une signature PGP

Quand un fournisseur signe un fichier, il génère un fichier de signature, généralement avec l'extension .asc ou .gpg. Si vous l'ouvrez avec un éditeur de texte, vous verrez quelque chose comme :

-----BEGIN PGP SIGNATURE-----
iQIzBAABCgAdFiEEJ96xVkTGs88719KRMA+Ea6JbrgkFAmHgoF4ACgkQMA+Ea6Jb
[...]
-----END PGP SIGNATURE-----

Rien de mystérieux : c'est une signature encodée en base64, encadrée par des balises standard. Ce fichier seul ne contient pas l'empreinte du fichier source : il permet uniquement de vérifier que le fichier signé correspond à la clé de l'auteur.

Cas pratique : vérifier une image Linux Mint

Appliquons cette méthode à Linux Mint, une distribution particulièrement recommandée pour les débutants. Les versions récentes (22.x) sont stables en 2026.

Depuis la page de téléchargement officielle de Linux Mint, récupérez : - L'image ISO (ex. linuxmint-22.1-cinnamon-64bit.iso) - Le fichier d'empreintes sha256sum.txt - La signature sha256sum.txt.gpg

Placez les trois fichiers dans votre dossier ~/Téléchargements/.

Étape 1 : Récupérer la clé publique de Linux Mint

gpg --keyserver hkp://keyserver.ubuntu.com --recv-key "27DEB15644C6B3CF3BD7D291300F846BA25BAE09"

Résultat attendu :

gpg: clef 300F846BA25BAE09 : clef publique « Linux Mint ISO Signing Key <root@linuxmint.com> » importée
gpg: Quantité totale traitée : 1
gpg:               importées : 1
⚠️
L'empreinte de clé présentée ici (27DEB15644C6B3CF3BD7D291300F846BA25BAE09) correspond aux versions Linux Mint 20 et 21. Pour Linux Mint 22.x, vérifiez l'empreinte exacte de la clé directement sur la documentation officielle de Linux Mint. Ne faites jamais confiance à une empreinte de clé trouvée uniquement sur un forum ou dans un moteur de recherche.

Étape 2 : Vérifier la signature du fichier d'empreintes

cd ~/Téléchargements
gpg --verify sha256sum.txt.gpg sha256sum.txt

Une bonne signature ressemble à ceci :

gpg: Signature faite le jeu. 13 janv. 2022 22:57:50 CET
gpg:                avec la clef RSA 27DEB15644C6B3CF3BD7D291300F846BA25BAE09
gpg: Bonne signature de « Linux Mint ISO Signing Key <root@linuxmint.com> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:          Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 27DE B156 44C6 B3CF 3BD7  D291 300F 846B A25B AE09

Une mauvaise signature ressemble à ceci :

gpg: MAUVAISE signature de « Linux Mint ISO Signing Key <root@linuxmint.com> »
💡
La mention "cette clef n'est pas certifiée avec une signature de confiance" est tout à fait normale si vous n'avez pas explicitement marqué cette clé comme fiable dans votre trousseau. Elle n'invalide pas la signature. Ce qui compte ici : la ligne Bonne signature.

Étape 3 : Vérifier l'empreinte de l'ISO

Une fois la signature du fichier sha256sum.txt validée, vous pouvez faire confiance aux empreintes qu'il contient. Vérifiez maintenant votre ISO :

sha256sum -c sha256sum.txt --ignore-missing

L'option --ignore-missing vous évite les avertissements pour les variantes d'ISO que vous n'avez pas téléchargées. Votre fichier doit afficher Réussi.

💡
Linux Mint ne signe pas directement ses images ISO. La chaîne de vérification recommandée est donc : signature GPG du fichier d'empreintes → vérification de l'ISO via ce fichier d'empreintes. C'est exactement ce que nous venons de faire.

Pourquoi ne pas se fier uniquement à HTTPS ?

La question se pose souvent. HTTPS protège le canal de transmission entre vous et le serveur, mais pas le contenu si le serveur lui-même est compromis ou mal configuré. Un attaquant ayant accès au serveur peut remplacer le fichier et son empreinte sans que HTTPS ne le détecte.

La vérification d'intégrité constitue une couche de protection indépendante du canal de téléchargement. Les deux sont complémentaires, pas interchangeables.

Une note sur les serveurs de clés GPG

Les serveurs de clés (keyserver.ubuntu.com, keys.openpgp.org...) facilitent la distribution de clés publiques. Mais ils ne garantissent pas leur authenticité : n'importe qui peut y déposer une clé avec n'importe quel nom.

La bonne pratique est de recouper l'empreinte de la clé avec plusieurs sources indépendantes : site officiel du projet, dépôt GitHub officiel, documentation de la distribution. Certains projets fournissent désormais leur clé publique directement depuis leur site, ce qui est préférable.

Voilà, vous maîtrisez maintenant les deux grandes méthodes de vérification d'intégrité. La méthode par empreinte suffit pour la plupart des usages quotidiens. La méthode GPG apporte la certitude supplémentaire sur l'identité de l'auteur : à préférer pour tout ce que vous comptez exécuter sur votre système.