Skip to content

Générateur de Hash SHA-256 & Outil Checksum

Générez des hashes SHA-256 en ligne gratuitement. Hachez texte ou fichiers dans votre navigateur, vérifiez les checksums, copiez la sortie hex de 64 caractères. Sans inscription ; données jamais transmises.

Sans pistage Fonctionne dans le navigateur Gratuit
Tout le hachage est effectué localement dans votre navigateur. Aucune donnée n'est transmise à un serveur.
Algorithme
Vérifié pour l'exactitude SHA-256 selon les vecteurs de test NIST FIPS 180-4 — Équipe d'ingénierie Go Tools · 28 mai 2026

Qu'est-ce que SHA-256 ?

SHA-256 (Secure Hash Algorithm, 256 bits) est la fonction de hachage cryptographique la plus largement déployée de la famille SHA-2, conçue par la NSA américaine et publiée par le NIST en 2001 dans le cadre de FIPS 180-2. Elle prend n'importe quelle entrée — texte, fichier ou flux d'octets — et produit une empreinte fixe de 256 bits (64 caractères hexadécimaux) qui identifie l'entrée avec une certitude de niveau cryptographique.

SHA-256 a résisté à toutes les attaques par collision depuis sa publication. La spécification NIST FIPS 180-4 reste en vigueur ; elle est approuvée pour une utilisation par le gouvernement fédéral américain, PCI DSS, FIPS 140-3 et les standards Internet de l'IETF. Elle sous-tend les certificats TLS (l'empreinte que les navigateurs affichent dans les dialogues de certificats), le format moderne d'ID d'objets de Git (depuis Git 2.29 en mode SHA-256), les IDs de transactions Bitcoin et la preuve de travail, la vérification de signature JWT (la famille JWS HS256, RS256, ES256) et la colonne d'intégrité de tous les principaux gestionnaires de paquets (npm, pip, cargo, apt).

Cet outil calcule SHA-256 entièrement dans votre navigateur via crypto.subtle.digest('SHA-256', ...) de la Web Crypto API — la même primitive que les navigateurs utilisent en interne pour les poignées de main TLS. Aucun octet n'est envoyé ; aucun serveur n'est impliqué. Le hash que vous voyez est exactement ce que sha256sum, OpenSSL dgst -sha256 ou Python hashlib.sha256() produiraient.

Quand utiliser SHA-256 : vérification d'intégrité de fichiers, stockage adressable par contenu, flux de signature numérique, empreinte de certificats, cache busting via hachage de contenu, déduplication. Quand ne pas utiliser SHA-256 : stockage de mots de passe (utilisez bcrypt, scrypt ou Argon2), HMAC sans la construction appropriée, ou comme ID aléatoire générique (utilisez UUID à la place).

Pour comparaison : SHA-256 produit 64 hex contre 32 pour MD5 (rompu depuis 2004), 40 pour SHA-1 (rompu depuis 2017), 96 pour SHA-384 et 128 pour SHA-512. La sortie de 256 bits offre 128 bits de résistance aux collisions — bien au-delà de toute attaque computationnelle prévisible.

// Hash text using Web Crypto API (SHA-256)
async function sha256(text) {
  const data = new TextEncoder().encode(text);
  const hash = await crypto.subtle.digest('SHA-256', data);
  return Array.from(new Uint8Array(hash))
    .map(b => b.toString(16).padStart(2, '0'))
    .join('');
}

await sha256('Hello, World!');
// → 'dffd6021bb2bd5b0af676290809ec3a53191dd81c7f70a4b28688a362182986f'

Exemples SHA-256

Vérifier un téléchargement ISO Ubuntu

ubuntu-24.04.iso

Déposez l'ISO téléchargé dans l'onglet Fichier ; l'outil calcule SHA-256 en morceaux, affichant la progression pour les fichiers volumineux. Comparez le hash résultant avec le fichier SHA256SUMS qu'Ubuntu publie sur releases.ubuntu.com. Une correspondance confirme que le téléchargement est identique bit à bit à ce que Canonical a signé — la vérification d'intégrité standard pour toute distribution Linux.

Empreinte d'un certificat TLS

-----BEGIN CERTIFICATE-----MIIDXTCCAkWg...

Collez un corps de certificat encodé PEM (sans les marqueurs BEGIN/END si votre chaîne d'outils attend du DER hex brut). L'empreinte SHA-256 est ce qui apparaît dans les dialogues d'information de certificats des navigateurs et dans les en-têtes HTTP Public Key Pinning. Les navigateurs modernes affichent ceci en 32 octets hex séparés par des deux-points ; cet outil donne la forme non découpée en 64 caractères, qui est ce que la plupart des APIs et fichiers de configuration attendent.

Générer un hash de contenu pour le cache busting

/* CSS file contents */

Un modèle courant de site statique : hacher le contenu d'un fichier CSS ou JS, ajouter les 8 premiers caractères du hash comme chaîne de requête (?v=a1b2c3d4) ou suffixe de nom de fichier (app.a1b2c3d4.css), et servir avec un en-tête de cache d'un an. Quand le contenu change, le hash change, invalidant les caches de manière déterministe. SHA-256 est bien adapté car les collisions sont infaisables en pratique — même tronqué à 8 caractères, la collision accidentelle est astronomiquement improbable pour un seul site.

Vérification de recherche de préimage

password123
ef92b778bafe771e89245b89ecbc08a44a4e166c06659911881f383d4473e94f

Le hash SHA-256 de 'password123' est ef92b778bafe771e89245b89ecbc08a44a4e166c06659911881f383d4473e94f. L'intérêt de cet exemple est le danger : n'utilisez jamais SHA-256 brut pour le stockage de mots de passe — il est beaucoup trop rapide (un GPU moderne calcule des milliards par seconde par force brute). Pour les mots de passe, utilisez bcrypt, scrypt ou Argon2 avec des paramètres appropriés de sel et de coût. SHA-256 sert à l'intégrité, pas aux identifiants.

Comment générer des hashes SHA-256

  1. 1

    Collez du texte ou déposez un fichier

    Sélectionnez l'onglet Texte et collez n'importe quelle chaîne dans la zone de saisie, ou passez à l'onglet Fichier et faites glisser un fichier depuis votre bureau dans la zone de dépôt. Le sélecteur d'algorithme SHA-256 est déjà actif. Le hachage se produit au fil de la frappe — pas de bouton Générer à cliquer. Pour les fichiers, un indicateur de progression s'affiche pour les téléchargements volumineux (>10 Mo).

  2. 2

    Copiez le hash de 64 caractères

    Cliquez sur le bouton Copier à côté de la sortie du hash. La valeur hex complète de 64 caractères va dans votre presse-papiers. Utilisez le bouton Majuscules/Minuscules si votre système en aval requiert une casse spécifique — Git utilise les minuscules, certains outils Windows utilisent les majuscules par défaut.

  3. 3

    Vérifiez avec l'onglet Comparer

    Passez à l'onglet Comparer et collez deux hashes SHA-256 (par exemple, le vôtre et celui d'un éditeur). L'outil signale la correspondance ou la non-correspondance avec une comparaison en temps constant, sans divulguer d'informations de timing. Utile pour vérifier des fichiers ISO téléchargés, des digests d'images de conteneurs ou des empreintes JAR signés.

Détails techniques

Algorithme : famille SHA-2, construction Merkle-Damgård
SHA-256 traite l'entrée en blocs de 512 bits, appliquant 64 tours d'opérations binaires (rotations, XOR, additions modulo 2^32) avec des constantes dérivées des racines cubiques des 64 premiers nombres premiers. Le hash final est l'état interne après le dernier bloc. Implémentation : FIPS 180-4 sections 4.2 et 6.2.
Sortie : 256 bits, 64 caractères hexadécimaux
Toujours exactement 64 caractères dans la plage [0-9a-f] (minuscules) ou [0-9A-F] (majuscules). Les différents encodages (Base64, Base64URL) raccourcissent la chaîne ; cet outil produit la forme hexadécimale canonique.
Performance : ~500 Mo/s dans le navigateur, ~2 Go/s en natif
L'implémentation SHA-256 de Web Crypto est du C/Rust compilé s'exécutant hors de la VM JS, donc elle est compétitive avec les outils natifs. Débit typique dans un navigateur : 300–800 Mo/s. Un fichier de 1 Go se hache en 1–3 secondes.
Normes : FIPS 180-4, RFC 6234, NIST SP 800-107
Actuellement approuvé par le NIST pour tous les niveaux de sécurité jusqu'en 2030 et au-delà. Requis par PCI DSS 4.0 pour l'intégrité des données de titulaires de carte, par FedRAMP et par les évaluations Common Criteria EAL2+.

Bonnes pratiques

Hachez toujours des octets UTF-8, pas des points de code Unicode
Des encodages différents de la même chaîne produisent des hashes différents. UTF-8 est la norme de facto ; cet outil encode l'entrée en UTF-8 avant le hachage. Si vous devez correspondre à un outil utilisant UTF-16 (certaines APIs Windows) ou Latin-1, vous devez pré-encoder en externe.
Utilisez une comparaison en temps constant lors de la vérification
Si vous comparez deux hashes dans du code, utilisez une vérification d'égalité en temps constant (timingsafe_equal dans Node.js, hmac.compare_digest dans Python). Les comparaisons naïves === ou strcmp divulguent des informations de timing exploitables. L'onglet Comparer de cet outil utilise déjà la comparaison en temps constant.
Tronquer SHA-256 est acceptable pour les usages non sécuritaires
Pour les noms de fichiers de cache busting ou les IDs de contenu courts, prendre les 8 ou 16 premiers hex d'un hash SHA-256 est correct — la probabilité de collision reste astronomiquement faible à l'échelle d'internet. Pour un usage cryptographique (signatures, empreintes), conservez toujours les 64 caractères complets.
Associez à un sel pour tout usage avec clé
Si vous utilisez SHA-256 pour dériver une clé ou un jeton à partir d'un secret, incluez toujours un sel unique par entrée. Sans sel, les entrées identiques produisent des hashes identiques — ce qui divulgue des informations. Mieux : utilisez HKDF (RFC 5869) ou HMAC-SHA-256 au lieu de SHA-256 brut pour la dérivation de clés.

Questions fréquentes SHA-256

Qu'est-ce que SHA-256 et en quoi diffère-t-il de MD5 ou SHA-1 ?
SHA-256 est une fonction de hachage cryptographique de 256 bits de la famille SHA-2, conçue par la NSA et standardisée par le NIST dans FIPS 180-4. Elle produit une sortie hexadécimale de 64 caractères. Contrairement à MD5 (128 bits, rompu depuis 2004) et SHA-1 (160 bits, rompu depuis 2017), SHA-256 reste cryptographiquement sécurisé : aucune collision pratique n'a jamais été trouvée. C'est la valeur par défaut actuelle de l'industrie pour les signatures numériques, les empreintes de certificats, les IDs de transactions blockchain et la vérification d'intégrité.
Quelle est la longueur d'un hash SHA-256 ?
Toujours 64 caractères hexadécimaux (256 bits = 32 octets, encodés en 2 hex par octet). La longueur de sortie est fixe quelle que soit la taille de l'entrée — une entrée de 1 octet et une entrée de 10 Go produisent toutes deux 64 hex. Cette longueur fixe est ce qui le rend utile comme empreinte.
SHA-256 est-il sûr pour le stockage de mots de passe ?
Non. SHA-256 est trop rapide — un GPU moderne peut calculer des milliards de hashes SHA-256 par seconde, ce qui est exactement ce qu'un attaquant souhaite pour la recherche par force brute de mots de passe. Utilisez un hash de mots de passe délibérément lent : bcrypt, scrypt ou Argon2id, chacun avec sel approprié et paramètre de coût élevé. SHA-256 sert à l'intégrité (vérifier que les données n'ont pas été altérées), pas au stockage de secrets.
Peut-on inverser SHA-256 pour trouver l'entrée originale ?
Non. SHA-256 est une fonction à sens unique : étant donné un hash, il n'existe pas d'algorithme efficace pour retrouver l'entrée. La seule attaque générale est la force brute — essayer chaque entrée possible et hacher chacune. Pour des entrées arbitraires, c'est computationnellement infaisable. L'exception : les entrées courtes et prévisibles (mots de passe courants, mots simples) peuvent être recherchées dans des tables arc-en-ciel, raison pour laquelle le salage des mots de passe est important.
Quelle est la différence entre SHA-256 et SHA-2 ?
SHA-2 est le nom de la famille ; SHA-256 en est un membre spécifique. La famille SHA-2 inclut aussi SHA-512 (512 bits), SHA-384 (SHA-512 tronqué), SHA-224 (SHA-256 tronqué), SHA-512/224 et SHA-512/256. Tous partagent la même construction Merkle-Damgård avec différentes tailles de mots et règles de troncature. SHA-256 est le membre le plus largement déployé — c'est ce que TLS, JWT, Git et Bitcoin utilisent par défaut.
Mes données sont-elles envoyées à un serveur ?
Non. SHA-256 est calculé entièrement dans votre navigateur via la Web Crypto API (crypto.subtle.digest). Ouvrez DevTools → onglet Réseau pendant le hachage — vous verrez zéro requête sortante. Le fichier que vous déposez en mode Fichier est lu avec l'API FileReader et haché localement ; les octets ne quittent jamais votre machine. Cela rend l'outil sûr pour hacher des documents confidentiels, du code propriétaire ou des sommes de contrôle sensibles.
Comment vérifier une somme de contrôle SHA-256 depuis un téléchargement ?
1) Téléchargez le fichier. 2) Ouvrez cet outil et cliquez sur l'onglet Fichier. 3) Faites glisser le fichier dans la zone de dépôt. 4) Attendez que le hash soit calculé (les fichiers volumineux prennent quelques secondes). 5) Ouvrez le fichier SHA256SUMS publié par l'éditeur. 6) Collez les deux hashes dans l'onglet Comparer — vert signifie correspondance, rouge signifie fichier corrompu ou altéré. La plupart des distributions Linux, runtimes de langages (Python, Node.js) et éditeurs de logiciels publient des sommes de contrôle SHA-256 à côté de leurs téléchargements précisément à cette fin.
Pourquoi ma sortie SHA-256 diffère-t-elle d'un outil en ligne de commande ?
Presque toujours des espaces blancs ou un encodage différent. La commande shell `echo "hello" | sha256sum` inclut un saut de ligne final (\n), donc le hash correspond à "hello\n" et non "hello". Utilisez `echo -n "hello"` pour le supprimer. Autres pièges : fins de ligne Windows (\r\n vs \n), BOM UTF-8, ou la différence entre hacher des octets UTF-8 et des octets UTF-16. SHA-256 est extrêmement sensible — un seul octet change toute la sortie.
SHA-256 peut-il hacher un fichier vide ?
Oui. Le SHA-256 de zéro octet est une constante bien connue : e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855. Cette valeur est parfois utilisée comme valeur sentinelle ou pour vérifier rapidement que le pipeline de hachage est correctement câblé.
Dois-je utiliser SHA-256 ou SHA-512 ?
Utilisez SHA-256 dans la plupart des cas — il est plus rapide sur le matériel 32 bits, universellement supporté, et offre 128 bits de sécurité contre les collisions. Utilisez SHA-512 quand vous êtes sur du matériel 64 bits où il est en réalité plus rapide, ou quand vous avez spécifiquement besoin de 256 bits de résistance aux collisions pour des protocoles cryptographiques qui l'exigent. Pour un usage quotidien (sommes de contrôle de fichiers, Git, TLS), SHA-256 est le standard.

Outils connexes

Voir tous les outils →

Décodeur JWT

Outils de sécurité

Décodez des jetons JWT en ligne avec notre décodeur JWT gratuit. Inspectez en-tête, charge utile, signature, expiration et revendications. 100 % navigateur — votre jeton ne quitte jamais votre appareil. Sans inscription ni suivi.

Générateur de Hash MD5 en Ligne et Vérificateur de Checksum

Outils de sécurité

Générez des hashes MD5, SHA-256, SHA-1 et SHA-512 dans votre navigateur. Hachez texte ou fichiers, vérifiez les checksums en un clic. 100 % privé.

Générateur de Mot de Passe — Sécurisé & Personnalisable

Outils de sécurité

Générez des mots de passe forts et sécurisés — gratuit, 100 % dans votre navigateur. Personnalisez longueur et caractères, générez jusqu'à 50.

Générateur SHA-1 (160 bits, usage hérité)

Outils de sécurité

Générez des hashes SHA-1 dans votre navigateur — sortie hex de 40 caractères, sans envoi. Outil hérité pour les empreintes Git, contrôles de certificats anciens et audits de migration. Données jamais transmises.

Générateur SHA-3 (Keccak SHA3-256 NIST)

Outils de sécurité

Générez des hashes SHA-3 en ligne gratuitement. Construction sponge NIST FIPS 202 — la norme post-SHA-2. Sortie SHA3-256 en 64 hex. Navigateur uniquement via js-sha3 en chargement différé ; zéro envoi.

Générateur SHA-384 (Hash Suite B TLS)

Outils de sécurité

Générez des hashes SHA-384 en ligne — sortie hex de 96 caractères, immunisé contre l'extension de longueur, conforme NSA Suite B. Associé à AES-256-GCM dans TLS. Tout le hachage s'exécute dans votre navigateur.