Choualbox
Choualbox
g/ssi
·
MyName
a
8 ans

Vérification d'un HASH (SHA256)

Bonjour/Bonsoir,

On revient ce soir sur un sujet qui fait malheureusement l'actualité, les hashs de fichiers.
Alors commençons de suite à expliquer ce qu'est un hash de fichier :
Définition Wikipédia : https://fr.wikipedia.org/wiki/Fonction_de_hachage_cryptographique
Ma définition simpliste : Un hash de fichier est une chaîne de caractère obtenue par une fonction mathématique qui permet de caractériser un fichier.

Pourquoi vérifier les Hashs ?
Parce que ne pas le faire peut vous porter préjudice. Imaginons un scénario pas trop compliqué mettant en scène trois personnes :
-PersonneA: PersonneB, voici le nouveau logiciel pour gérer les finances de l'entreprise. Il est Vendredi soir, je te le mets sur le serveur de l'entreprise, il faut l'installer sur tous les postes de l'entreprise (~1000) dès Lundi.
-PersonneX: Je sais que la mise à jour du logiciel à lieu Lundi, il me reste 2 jours pour pirater le serveur où est stocké la nouvelle version du logiciel et y insérer une porte dérobée qui me donnera accès à toutes les infos financières de cette boîte ! -2Heures plus tard : Voilà, c'est fait ! -
-PersonneB: C'est Lundi, j'installe la nouvelle version. -6Heures plus tard : Voilà, c'est fini ! -
PersonneX: J'ai maintenant accès aux données de l'entreprise !

Comment ?
Aparté : Je ne montre ici que le Hachage en SHA256, que je considère encore viable. Le MD5 a été cassé en 2013, le SHA128 ayant été fragilisé en 2005 et qui ne sera plus accepté à partir du 01 Janvier 2017.
1 : Ici, c’est le hash pour l’application au-dessus qui est donné avant le téléchargement
2. Voici mon fichier téléchargé.
3. Placez-vous dans le dossier contenant le fichier téléchargé. Maintenez la touche Maj puis cliquez-droit.
4. Maintenant, cliquez sur Ouvrir une fenêtre de commandes ici.
5. Nous allons utiliser un outil qui est compris dans tous les Windows, CertUtil.
Lien officiel de la documentation Microsoft : https://technet.microsoft.com/en-us/library/cc732443.aspx
Ici, je vous donne la commande :
certutil -v -hashfile Monfichier SHA256
Exemple : certutil -v -hashfile logiciel.exe SHA256
Info : Sur Windows comme sur Linux, la complétion automatique d’un fichier se fait en appuyant sur la touche Tab (ou celle des deux flèches opposées)
6. Je peux maintenant vérifier le résultat que j’ai trouvé avec le hash donné en 1.

Pensez-y à l’avenir, une contrition de 10 minutes vaut mieux que passer la journée à changer ses mots de passe ;)
LOG OFF

Vérification d'un HASH (SHA256)
6 commentaires
Poster un commentaire
anonyme
anonyme
8 ans

Intéressant, il s'agirait de comparer le "matricule" du fichier à celui fourni sur le site internet en fait ?

MyName
MyName
a
8 ans

@Thepeasant: Yes, pour confirmer qu'il n'y a pas eu d'altération pendant le transfert !
Si par contre, tu ne trouves pas le même, tu as de quoi t'inquiéter !

anonyme
anonyme
8 ans

@MyName: Et si le site est corrompu également c'est la merde !
Ok nice.

MyName
MyName
a
8 ans

@Thepeasant: Oui, c'est pour cela que, normalement, tu héberges tes fichiers et tes "matricules" sur deux serveurs différents. Et tu passes un script, qui plusieurs fois par jour vérifie l'intégrité de tes fichiers avec sa base !

anonyme
anonyme
8 ans

@MyName: Hmm je vois ! Merci ;)

MyName
MyName
a
8 ans

@Thepeasant: De rien, ça fait plaisir !

Cette page est réservée aux ADULTES

Tu es sur le point d'accéder à un site web qui contient du matériel explicite (pornographie).

Tu ne dois accéder à ce site que si tu as au moins 18 ans ou si tu as l'âge légal pour visionner ce type de matériel dans ta juridiction locale, l’âge le plus élevé étant retenu. En outre, tu déclares et garantis que tu ne permettras aucun mineur à d'accéder à ce site ou à ces services.


En accédant à ce site, tu acceptes nos conditions d'utilisation.