What is a hash function?

A hash function takes any input and produces a fixed-length string of characters. The same input always produces the same output, but even a tiny change in the input produces a completely different hash.

What is the difference between SHA-1, SHA-256, and SHA-512?

SHA-1 produces a 160-bit hash and is considered weak for security-critical uses. SHA-256 produces a 256-bit hash and is widely used for checksums and certificates. SHA-512 produces a 512-bit hash offering the highest security.

Can I use this to store passwords?

No. SHA algorithms are fast by design, which makes them unsuitable for password storage. For passwords, use dedicated algorithms like bcrypt, scrypt, or Argon2.

Is my text sent anywhere?

No. All hashing is performed locally in your browser using the Web Crypto API. Your text never leaves your device.

Générateur de hash — SHA-1/256/384/512 + glisser-déposer fichier + comparer

Comment fonctionne le générateur de hash

Tapez ou collez n'importe quel texte dans le champ de saisie. L'outil calcule automatiquement les hachages SHA-1, SHA-256 et SHA-512 simultanément en utilisant l'API Web Crypto intégrée à votre navigateur. Aucune requête serveur n'est effectuée — tout s'exécute localement.

Chaque hash est affiché au format hexadécimal. Cliquez sur le bouton Copier à côté de n'importe quel hash pour le copier dans votre presse-papiers. SHA-256 est l'algorithme le plus utilisé pour les sommes de contrôle et la vérification de l'intégrité des données.

Que sont les fonctions de hachage ?

Une fonction de hachage est un algorithme mathématique qui prend n'importe quelle entrée — un mot, un fichier, une base de données entière — et produit une chaîne de longueur fixe appelée hash, empreinte ou somme de contrôle. Quelle que soit la taille de l'entrée, la sortie a toujours la même longueur : SHA-256 produit toujours 64 caractères hexadécimaux, SHA-512 en produit toujours 128. Cette propriété rend les fonctions de hachage utiles chaque fois qu'on a besoin d'une empreinte compacte et unique d'une donnée.

Les fonctions de hachage ont trois propriétés clés qui les rendent utiles en cryptographie. Premièrement, elles sont déterministes : la même entrée produit toujours exactement la même sortie. Deuxièmement, elles sont à sens unique : à partir d'un hash, il est computationnellement infaisable de reconstruire l'entrée originale. Troisièmement, elles ont l'effet avalanche : changer même un seul caractère dans l'entrée produit une sortie complètement différente. Essayez de taper 'Hello' et 'hello' et comparez les résultats SHA-256 — ils partageront presque aucun caractère malgré une différence d'une seule lettre.

La famille SHA (Secure Hash Algorithm) a été développée par la NSA américaine et publiée par le NIST. SHA-1 (1995) produit des empreintes de 160 bits et est maintenant obsolète pour les usages de sécurité après que des chercheurs ont démontré des attaques par collision en 2017. SHA-2 (2001), qui comprend SHA-256 et SHA-512, reste la norme actuelle pour la plupart des applications de sécurité. SHA-3 (2015) utilise un design interne complètement différent (construction éponge Keccak). MD5, bien que ce ne soit pas un algorithme SHA, est également très répandu : il produit des hashes de 128 bits, mais est maintenant considéré comme compromis pour les usages de sécurité.

Quand utiliser les différents algorithmes de hachage

MD5 — À utiliser uniquement pour les vérifications d'intégrité de fichiers non liées à la sécurité où la vitesse est importante et où la résistance aux collisions n'est pas requise, comme la vérification d'un fichier téléchargé par rapport à une somme de contrôle connue. MD5 est rapide et largement supporté. Ne jamais l'utiliser pour des mots de passe, des signatures numériques ou tout usage critique pour la sécurité — des attaques par collision ont été démontrées.
SHA-256 — La norme actuelle à usage général pour les applications de sécurité. Utilisez-le pour les signatures numériques, les certificats TLS/SSL, la signature de code, la vérification de l'intégrité des données dans la distribution de logiciels et les applications blockchain (Bitcoin utilise SHA-256 pour sa preuve de travail). C'est l'algorithme de hachage le plus largement déployé au monde et il n'a aucune vulnérabilité pratique connue.
SHA-512 — Préféré pour les applications haute sécurité et les systèmes gouvernementaux où une résistance maximale en bits est requise. SHA-512 traite les données en blocs de 1024 bits (contre 512 bits pour SHA-256) et est en réalité plus rapide que SHA-256 sur les processeurs 64 bits en raison de sa conception interne. Il est couramment utilisé dans les systèmes PKI de haute valeur, la signature de documents sécurisés et la cryptographie financière.
HMAC (Hash-based Message Authentication Code) — Lorsque vous avez besoin de vérifier à la fois l'intégrité et l'authenticité des données, combinez n'importe quel algorithme de hachage avec une clé secrète en utilisant HMAC. HMAC-SHA256 est utilisé dans les tokens JWT, l'authentification API (AWS, Stripe et la plupart des API modernes utilisent des signatures HMAC) et la vérification des webhooks. Un hash simple prouve que les données n'ont pas changé ; un HMAC prouve qu'elles proviennent de quelqu'un qui connaît la clé secrète.

Hacher un fichier sans l'envoyer nulle part

Le mode fichier vous permet de déposer n'importe quel fichier par glisser-déposer — ou de le sélectionner — et d'en hacher le contenu via l'API Web Crypto, entièrement dans votre navigateur. Le fichier ne quitte jamais votre appareil. La taille du fichier est affichée avec les hachages, ce qui permet une vérification rapide : si la taille diffère déjà de la valeur attendue, inutile de comparer les hachages. Les quatre algorithmes SHA — SHA-1, SHA-256, SHA-384 et SHA-512 — sont calculés en parallèle, donc vous obtenez tous les résultats d'un coup.

Il y a aussi un champ de comparaison : collez le hachage attendu reçu d'un éditeur ou d'un artefact de build, et l'outil vous indique immédiatement s'il correspond et quel algorithme correspond. Plus besoin de comparer caractère par caractère une chaîne SHA-512 de 128 caractères hexadécimaux. Si vous avez déjà scruté deux hachages pour repérer un seul caractère erroné, ça règle ça.

Questions fréquentes

Qu'est-ce qu'une fonction de hachage ?

Une fonction de hachage prend n'importe quelle entrée et produit une chaîne de caractères de longueur fixe. La même entrée produit toujours la même sortie, mais même un petit changement dans l'entrée produit un hash complètement différent. Cela rend les hachages utiles pour vérifier l'intégrité des données.

Quelle est la différence entre SHA-1, SHA-256 et SHA-512 ?

SHA-1 produit un hash de 160 bits (40 caractères hex) et est considéré faible pour les usages critiques en sécurité. SHA-256 produit un hash de 256 bits (64 caractères hex) et est largement utilisé pour les sommes de contrôle et les certificats. SHA-512 produit un hash de 512 bits (128 caractères hex) offrant la plus haute sécurité.

Puis-je utiliser cela pour stocker des mots de passe ?

Non. Les algorithmes SHA sont rapides par conception, ce qui les rend inadaptés au stockage de mots de passe. Pour les mots de passe, utilisez des algorithmes dédiés comme bcrypt, scrypt ou Argon2 qui sont intentionnellement lents et résistants aux attaques par force brute.

Mon texte est-il envoyé quelque part ?

Non. Tout le hachage est effectué localement dans votre navigateur en utilisant l'API Web Crypto. Votre texte ne quitte jamais votre appareil.

Qu'est-ce qu'une collision de hash et pourquoi est-ce important ?

Une collision de hash se produit lorsque deux entrées différentes produisent le même hash. Étant donné que les fonctions de hachage compriment des entrées de longueur arbitraire vers une sortie de longueur fixe, les collisions sont mathématiquement inévitables. Ce qui compte, c'est de savoir si les collisions sont pratiquement trouvables. Pour MD5 et SHA-1, des chercheurs ont trouvé des méthodes pour créer délibérément des collisions, c'est pourquoi ils ne sont plus fiables pour la sécurité. Pour SHA-256, aucune attaque pratique par collision n'existe.

Comment vérifier un téléchargement de fichier avec un hash ?

Les éditeurs de logiciels publient souvent une somme de contrôle SHA-256 à côté des liens de téléchargement. Après avoir téléchargé le fichier, calculez son hash SHA-256 (en utilisant cet outil pour le texte, ou un outil comme sha256sum sur Linux/macOS pour les fichiers binaires) et comparez-le caractère par caractère avec la valeur publiée. S'ils correspondent, le fichier est intact et non modifié. S'ils diffèrent, le fichier a été corrompu lors du transfert ou, dans le pire cas, falsifié.