SHA-256 est une fonction de hachage cryptographique qui transforme tout fichier en une empreinte de 256 bits, soit 64 caractères hexadécimaux, servant d'identifiant unique et infalsifiable de son contenu. Quelle que soit la taille du document de départ, le résultat fait toujours la même longueur et change radicalement au moindre octet modifié.
Comment fonctionne SHA-256
SHA-256 appartient à la famille SHA-2, conçue par la NSA et publiée par le NIST américain. L'algorithme découpe le fichier en blocs, les mélange à travers une série d'opérations mathématiques (rotations, additions modulaires, fonctions logiques) et restitue une valeur de longueur fixe. Le résultat est déterministe — un même fichier donne toujours la même empreinte — mais imprévisible : impossible de deviner l'empreinte sans exécuter le calcul, et impossible d'en déduire le contenu d'origine. C'est cette combinaison qui fait de SHA-256 une empreinte numérique fiable.
Chez Certifiles, SHA-256 est l'algorithme retenu pour calculer l'empreinte de vos documents au moment du dépôt, localement, sans que le fichier ne soit transmis. Cette empreinte est ensuite horodatée par une autorité d'horodatage qualifiée selon la norme RFC 3161, puis inscrite dans le certificat de preuve. SHA-256 offre le bon équilibre : assez robuste pour résister aux attaques connues, assez répandu pour que n'importe quel outil puisse vérifier l'empreinte des années plus tard.
Pourquoi SHA-256 et pas un autre algorithme
Le choix d'un algorithme de hachage pour la preuve n'est pas neutre. Les fonctions plus anciennes, MD5 et SHA-1, ont été cassées : on sait fabriquer deux fichiers distincts produisant la même empreinte, ce qui ruine leur valeur probante. SHA-256 résiste à ce jour à toute attaque pratique de collision. SHA-512, sa grande sœur, offre une empreinte plus longue mais sans gain de sécurité utile pour l'horodatage courant et avec une moindre universalité de vérification. SHA-256 s'impose donc comme le standard de fait : suffisamment sûr, parfaitement interopérable, et reconnu par les autorités de sécurité.
Reconnaissance et normes
SHA-256 fait partie des algorithmes recommandés par l'ANSSI dans son référentiel général de sécurité et par les normes ETSI qui encadrent les services de confiance eIDAS. C'est cette fiabilité technique qui permet à l'empreinte de matérialiser la garantie d'intégrité exigée par les articles 1366 et 1367 du Code civil pour reconnaître la valeur probante d'un écrit électronique. En clair, la solidité juridique de la preuve repose en partie sur la solidité cryptographique de SHA-256. Cette articulation entre technique et droit est essentielle à comprendre : le juge n'a pas à entrer dans le détail des opérations mathématiques, mais il s'appuie sur le fait que l'algorithme employé est reconnu par les autorités de référence et par les normes encadrant les services de confiance. Le choix d'un algorithme éprouvé n'est donc pas un détail d'ingénieur : c'est l'un des éléments qui permettent à un fichier horodaté de bénéficier de la présomption de fiabilité attachée à l'écrit électronique.
Exemple concret
Un cabinet d'architectes dépose les plans définitifs d'un chantier. Certifiles calcule leur empreinte SHA-256 et l'horodate. Trois ans plus tard, lors d'un litige sur une malfaçon, l'expert judiciaire recalcule le SHA-256 du fichier produit par le cabinet : la correspondance exacte avec l'empreinte certifiée prouve que les plans n'ont pas été retouchés depuis le dépôt, et qu'ils existaient bien à la date certaine du jeton.
Cas d'usage
SHA-256 intervient à chaque étape de la chaîne de preuve, sans que l'utilisateur ait à s'en préoccuper. Au dépôt, il condense le fichier en une empreinte unique. À l'horodatage, c'est cette empreinte, et non le document, qui est datée et signée par l'autorité, garantissant la confidentialité du contenu. Plus tard, lors d'une vérification — par un expert judiciaire, un avocat ou la partie adverse — SHA-256 sert à recalculer l'empreinte du fichier produit et à la comparer à celle scellée dans le jeton. Parce que l'algorithme est ouvert, normalisé et intégré nativement aux systèmes d'exploitation, cette vérification reste possible des années après, indépendamment de Certifiles : la preuve ne dépend d'aucun outil propriétaire, ce qui est essentiel pour sa pérennité.
À ne pas confondre avec…
- MD5 et SHA-1 : des fonctions de hachage plus anciennes, aujourd'hui cassées et déconseillées pour la preuve.
- Le chiffrement AES : il protège la confidentialité d'un fichier de façon réversible, là où SHA-256 produit une empreinte irréversible.
- SHA-512 : une variante de SHA-2 à 512 bits, plus longue mais sans gain de sécurité utile pour l'horodatage courant.