Empreinte numérique (hash) : définition

L'empreinte numérique, ou hash, est une suite de caractères de longueur fixe calculée à partir du contenu d'un fichier par une fonction de hachage, qui agit comme une signature unique : le moindre changement dans le document produit une empreinte totalement différente. Elle ne contient pas le fichier, mais le résume de façon infalsifiable, ce qui en fait l'outil de base de toute preuve d'intégrité.

Pourquoi le hash est au cœur de la preuve

Une fonction de hachage transforme n'importe quel fichier — un PDF de deux pages ou une vidéo de plusieurs gigaoctets — en une chaîne de taille constante. Cette opération est dite à sens unique : on ne peut pas reconstituer le document d'origine à partir de son empreinte. Deux propriétés la rendent précieuse pour la preuve. D'abord, l'unicité : il est en pratique impossible de trouver deux fichiers différents partageant la même empreinte (on parle de résistance aux collisions). Ensuite, la sensibilité : modifier un seul pixel ou un seul caractère change radicalement le résultat, ce qui rend toute altération immédiatement visible.

Certifiles s'appuie sur l'empreinte SHA-256 calculée localement lors du dépôt. C'est cette empreinte, et non votre fichier, qui est transmise à l'autorité d'horodatage qualifiée et inscrite dans le jeton d'horodatage RFC 3161. Votre document reste donc confidentiel, tandis que son empreinte sert d'ancre de preuve : pour vérifier l'intégrité plus tard, il suffit de recalculer le hash et de le comparer à celui scellé dans le certificat.

Hash, condensat, somme de contrôle : un même principe

On rencontre l'empreinte numérique sous plusieurs noms : hash, condensat (digest en anglais), ou somme de contrôle. Les sommes de contrôle simples, comme CRC32, servent surtout à détecter des erreurs de transmission et ne résistent pas à une manipulation volontaire. Les fonctions cryptographiques comme SHA-256, en revanche, sont conçues pour qu'il soit pratiquement impossible de fabriquer un faux fichier ayant la même empreinte. C'est cette robustesse cryptographique qui distingue un hash de preuve d'un simple contrôle d'intégrité technique.

Cadre légal

L'empreinte numérique est l'outil technique qui matérialise la garantie d'intégrité exigée par l'article 1366 du Code civil pour reconnaître à l'écrit électronique la même force probante que l'écrit papier. Le règlement eIDAS (n° 910/2014) et la norme RFC 3161 reposent eux aussi sur le hachage cryptographique pour lier un document à une date. Sans empreinte fiable, il n'y a pas de preuve d'intégrité opposable : c'est le socle technique de toute la chaîne de confiance. Le législateur ne nomme pas explicitement la fonction de hachage, mais il exige une garantie d'intégrité, et l'empreinte cryptographique est aujourd'hui le moyen le plus universellement reconnu d'y répondre. C'est cette correspondance entre une exigence juridique — l'intégrité — et un procédé technique éprouvé — le hachage — qui fait de l'empreinte numérique un maillon indispensable. Sans elle, l'horodatage daterait une date sans rien garantir du contenu ; avec elle, la date et le contenu sont liés indissolublement dans un même jeton.

Exemple concret

Une développeuse freelance livre le code source d'une application le 4 avril et en calcule l'empreinte SHA-256, qu'elle fait horodater. Lorsqu'un client conteste plus tard avoir reçu une version conforme, elle recalcule le hash du fichier archivé : il correspond exactement à l'empreinte scellée dans le certificat, prouvant que le livrable n'a pas été altéré depuis la livraison. Une seule ligne de code modifiée aurait suffi à faire diverger l'empreinte.

Cas d'usage

L'empreinte numérique est omniprésente dès qu'il faut prouver qu'un fichier n'a pas changé. Elle sert à vérifier qu'un téléchargement n'a pas été corrompu, à comparer deux versions d'un même document, à sceller un livrable au moment de sa remise, ou encore à constituer une piste d'audit traçable. Dans le contexte probatoire, c'est elle que l'on horodate : plutôt que de transmettre un fichier volumineux et confidentiel, on date sa seule empreinte, légère et anonyme. Le jour où la preuve est mise en cause, on recalcule le hash du fichier conservé et on le confronte à celui du certificat. Cette opération, à la portée de n'importe quel outil standard, suffit à trancher la question de l'intégrité sans expertise complexe ni recours à un logiciel propriétaire.

À ne pas confondre avec…

Le chiffrement : il rend un fichier illisible mais réversible avec une clé ; le hash, lui, est irréversible et ne sert pas à cacher le contenu.
La signature électronique : elle utilise un hash mais y ajoute l'identité d'un signataire ; l'empreinte seule ne dit rien de l'auteur.
Un identifiant de fichier ou un numéro de version : attribués arbitrairement, ils ne reflètent pas le contenu réel du document.

Que se passe-t-il si je modifie une virgule dans mon document après l'avoir horodaté ?

Son empreinte numérique change entièrement. En recalculant le hash, on obtient une valeur différente de celle scellée dans le certificat, ce qui révèle immédiatement que le fichier a été modifié après l'horodatage.

Deux fichiers peuvent-ils avoir la même empreinte numérique ?

Avec une fonction robuste comme SHA-256, c'est considéré comme impossible en pratique : le nombre de valeurs possibles est si vaste qu'aucune collision n'a jamais été produite. C'est ce qui fait du hash un identifiant fiable du contenu.

Peut-on retrouver mon document à partir de son empreinte ?

Non. Le hachage est une opération à sens unique : l'empreinte ne contient pas le contenu et ne permet pas de le reconstituer. C'est pourquoi Certifiles ne transmet que l'empreinte à l'autorité d'horodatage, jamais le fichier.

Quelle fonction de hachage Certifiles utilise-t-il ?

Certifiles calcule l'empreinte avec SHA-256, l'algorithme recommandé par l'ANSSI et largement employé dans les services de confiance eIDAS pour sa robustesse et sa large compatibilité de vérification.

Puis-je calculer moi-même l'empreinte de mon fichier ?

Oui. SHA-256 est un standard ouvert : les commandes intégrées aux systèmes d'exploitation et de nombreux outils gratuits permettent de recalculer le hash et de le comparer à celui inscrit dans votre certificat Certifiles, sans dépendre d'un logiciel propriétaire.

L'équipe Certifiles — experts en preuve numérique & horodatage eIDAS

L'équipe Certifiles réunit des spécialistes de la preuve numérique, de l'horodatage qualifié eIDAS et de la recevabilité juridique des fichiers. Nous publions des guides pratiques pour aider professionnels et particuliers à constituer des preuves opposables (photos, vidéos, PDF) et à maîtriser le cadre réglementaire (eIDAS, RGPD, Code civil).