Si vous êtes un utilisateur régulier de Linux, vous avez probablement déjà remarqué que de nombreux développeurs de distributions vous incitent à « vérifier les sommes de contrôle » après avoir téléchargé un fichier. Mais qu’est-ce qu’une somme de contrôle exactement ? Il s’agit en fait d’une série de données générée grâce à un algorithme. Son principal but est de vérifier si un fichier a été altéré ou s’il contient des erreurs.
Dans l’univers Linux, les développeurs emploient ces sommes de contrôle afin d’éviter toute falsification des fichiers téléchargés. Par exemple, si un pirate informatique parvenait à accéder au site officiel d’Ubuntu et à modifier les fichiers ISO, vous pourriez le détecter en vérifiant la somme de contrôle de votre téléchargement.
Ce guide vous expliquera comment réaliser cette vérification sous Linux, que ce soit par le biais d’outils graphiques ou en utilisant le terminal. Pour les besoins de ce tutoriel, nous prendrons comme exemple la dernière version ISO de Linux Mint.
Méthode 1 : Vérification graphique avec GTKhash
La solution la plus simple pour vérifier une somme de contrôle via l’interface graphique est d’utiliser l’outil GTKhash. Ce programme est facile à prendre en main et ne requiert pas de connaissances techniques poussées. Cependant, il est nécessaire de l’installer au préalable car il n’est pas toujours intégré par défaut sur les systèmes Linux.
Pour procéder à l’installation de GTKhash, vous devez ouvrir une fenêtre de terminal. Vous pouvez généralement le faire en appuyant simultanément sur les touches Ctrl + Alt + T ou Ctrl + Maj + T. Une fois le terminal ouvert, suivez les instructions d’installation ci-dessous, en fonction de votre distribution Linux.
Ubuntu
Sur Ubuntu, l’installation de GTKhash est simple : il suffit d’utiliser la commande Apt suivante :
sudo apt install gtkhash
Debian
Les utilisateurs de Debian peuvent installer GTKhash avec la commande apt-get :
sudo apt-get install gtkhash
Arch Linux
GTKhash n’est pas disponible dans les dépôts officiels d’Arch Linux. Néanmoins, un dépôt tiers propose l’application pré-compilée. Pour l’installer, entrez ces deux commandes :
wget https://lonewolf.pedrohlc.com/chaotic-aur/x86_64/gtkhash-1.4-2-x86_64.pkg.tar.zst sudo pacman -U gtkhash-1.4-2-x86_64.pkg.tar.zst
Si vous préférez éviter les dépôts tiers, vous pouvez également installer GTKhash via l’AUR, en utilisant votre assistant AUR favori.
Fedora
Sur Fedora, vous pouvez installer GTKhash à l’aide de la commande dnf :
sudo dnf install gtkhash
OpenSUSE
GTKhash est disponible pour OpenSUSE, mais uniquement via un dépôt tiers. Pour l’installer, cliquez sur ce lien et sélectionnez le bouton « 1 Click Install » correspondant à votre version d’OpenSUSE.
Une fois l’application GTKhash installée, lancez-la en la recherchant dans le menu des applications. Suivez ensuite les étapes ci-dessous pour apprendre à vérifier les sommes de contrôle.
Étape 1 : Dans GTKhash, repérez la section « Fichier », qui devrait indiquer « (Aucun) » par défaut. Cliquez dessus et sélectionnez le fichier ISO que vous voulez vérifier. Pour notre exemple, nous utiliserons l’ISO de Linux Mint 20 Cinnamon.
Étape 2 : Allez sur le site web où vous avez téléchargé le fichier ISO et cherchez la somme de contrôle correspondante. Il devrait s’agir d’une longue chaîne de caractères. Si vous ne la trouvez pas, consultez la documentation officielle de votre système d’exploitation Linux.
Étape 3 : Copiez la somme de contrôle dans le presse-papier, puis collez-la dans le champ « Vérifier ».
Étape 4 : Cliquez sur le bouton « Hash » en bas de la fenêtre. GTKhash calculera et vérifiera la correspondance entre la somme de contrôle que vous avez fournie et celle du fichier ISO. Si les hachages correspondent, il n’y aura aucune différence entre le champ « Vérifier » et les champs de sortie.
Méthode 2 : Vérification via le terminal
La vérification par le terminal est une autre méthode possible sous Linux, bien que moins conviviale. La plupart des distributions modernes utilisent des hachages SHA256, mais certaines emploient encore les sommes MD5. Nous allons aborder les deux cas.
Pour vérifier une somme SHA256, voici les étapes à suivre. Nous continuerons d’utiliser l’ISO de Linux Mint 20 Cinnamon comme exemple.
Ouvrez une fenêtre de terminal sur votre bureau Linux. Déplacez-vous jusqu’à l’emplacement où se trouve votre fichier ISO. Dans notre exemple, il est placé dans le répertoire « Téléchargements ».
cd ~/Downloads
Exécutez la commande sha256sum sur le fichier ISO téléchargé. Si la sortie correspond à la somme de contrôle affichée sur le site web, le fichier est intact et sûr. Si ce n’est pas le cas, il est corrompu et ne doit pas être utilisé.
sha256sum iso-file.iso
Pour vérifier une somme de contrôle MD5, utilisez la commande md5sum :
md5sum iso-file.iso
Comme pour le hachage SHA256, si la sortie ne correspond pas à la somme de contrôle présente sur le site web, le fichier est corrompu et ne doit pas être utilisé. Si les sommes correspondent, vous pouvez utiliser votre fichier en toute sécurité !