Comment télécharger des fichiers en toute sécurité ?

Illustration téléchargement: une personne devant un ordinateur portable qui télécharge des documents

De nos jours, il est devenu commun de télécharger des fichiers de différents formats sur internet. Seulement ce n’est pas sans risque. Dans cet article, je vous détaille comment faire pour télécharger des fichiers sur internet en toute sécurité.

D’une part, il y a les fichiers de données : audio, vidéo, Acrobat Reader (.pdf), Word (.doc, .docx), Excel (.xls, .xlsx, .xlsm).
Et d’autre part, les fichiers contenant des exécutables (.exe pour Windows, .app pour Mac OS).

Ces différents formats peuvent contenir des virus qui s’installent discrètement en arrière-plan lors de leur ouverture ou de leur exécution.

Pour se protéger, il est important de suivre quelques règles d’hygiène détaillées ci-dessous.

1. Avoir un antivirus et un système à jour

La base avant toute chose est d’avoir un antivirus et un système à jour :

  • L’antivirus va permettre la détection et la suppression de logiciels malveillants connus. Il doit être à jour afin d’avoir la dernière base de définition de virus disponible.
  • L’installation des mises à jour du système d’exploitation et des logiciels utilisés (dont le navigateur internet) permettent d’avoir un système le plus sûr possible avec toutes les failles de sécurité connues corrigées.

2. Télécharger à partir de sources sûres

Bien choisir ses sources pour télécharger des fichiers sains est très important:

Il faut toujours préférer les sites officiels des éditeurs de logiciels auxquels on peut avoir confiance pour s’assurer que le logiciel téléchargé est bien celui qui a été publié par l’éditeur.

Il existe une multitude de sites web qui proposent gratuitement en téléchargement une bibliothèque impressionnante de différents logiciels.

Pour se rémunérer, ils ajoutent des programmes pour former un « package » qui contient certes le logiciel voulu mais pas que.

En effet, il n’est pas rare qu’après une installation d’un logiciel provenant de l’un de ces sites, on se retrouve avec un navigateur non désiré, un antivirus supplémentaire ou encore des barres de recherches ajoutés sur nos navigateurs internet.

Ces sites ajoutent ce qu’ils veulent dans leurs fichiers d’installation. Certains ajoutent des logiciels non désirés mais relativement sains et d’autres du code malveillant.

C’est pourquoi il faut toujours télécharger ses logiciels ou drivers directement sur les sites des éditeurs.

3. Vérifier l’empreinte numérique

Après avoir téléchargé un logiciel depuis le site de l’éditeur, il faut s’assurer que le fichier téléchargé est bien le même que celui mis à disposition par l’éditeur.

Il est possible pour un attaquant de modifier un fichier en cours de téléchargement à la volée pour y insérer du code malveillant. Pour s’en prémunir, il convient de vérifier que l’empreinte numérique du fichier téléchargé correspond bien celle de l’éditeur.

Le principe est simple : Le fichier passe dans un logiciel qui calcule une clé, une empreinte numérique. Si un seul bit dans le fichier d’origine change, la clé calculée sera alors totalement différente.

La clé se présente sous la forme d’une suite de chiffres et de lettres dont la longueur varie en fonction de l’algorithme de chiffrement utilisé. Il en existe plusieurs par exemple le MD5, SHA1, SHA256, SHA512, …

Attention, le MD5 et le SHA1 sont obsolètes, dans la mesure du possible, il faut utiliser le SHA256 ou supérieur.

L’éditeur met à disposition sur son site internet le fichier à télécharger avec l’empreinte numérique correspondante qu’il a calculé de son côté.

Après chaque téléchargement, il faut contrôler la signature du fichier téléchargé en utilisant un logiciel de calcul d’empreinte comme par exemple FileChecksumUtility sous Windows ou Checksum disponible dans l’App Store sous Mac OS.

Ensuite, il suffit de comparer la clé calculée avec celle publiée par l’éditeur.

Si elles sont identiques, cela veut dire que le fichier téléchargé est identique à celui publié par l’éditeur, il n’a pas été modifié durant le transfert.

Prenons un exemple concret

Vous souhaitez télécharger le logiciel KeePass que j’ai présenté ici, voici les différentes étapes :

1 – Le téléchargement :

Télécharger depuis le site de l’éditeur : https://keepass.info/download.html.

Prenons par exemple la version 2.53.

2 – Calcul de l’empreinte numérique du fichier téléchargé :

Une fois téléchargé, nous allons calculer l’empreinte numérique du fichier.

Voici par exemple l’empreinte SHA256 calculée sous Mac avec le logiciel Checksum disponible dans l’App Store :

Calcul de l'empreinte numérique du fichier KeePass-2.53-Setup.exe avec le logiciel Checksum sous Mac
Calcul de l’empreinte numérique du fichier KeePass-2.53-Setup.exe avec le logiciel Checksum sous Mac

Sur la ligne du bas, on voit le résultat : l’empreinte calculée. En haut, il est possible de coller une clé pour laisser le logiciel la comparer. C’est ce que nous allons faire.

3 – Comparaison de l’empreinte calculée avec celle de l’éditeur :

Pour la trouver, rendez-vous sur la page download et en bas, cliquer sur « Integrity: Hashes and OpenPGP Signatures ».

Récupérer l’empreinte correspondante au fichier téléchargé (en supprimant les espaces) :

Aperçu de la page KeePass Integrity avec les empreintes numériques des différentes versions de KeePass
Aperçu de la page KeePass Integrity avec les empreintes numériques des différentes versions de KeePass

Puis on la colle dans Checksum pour vérifier la correspondance :

Vérification de l'empreinte numérique du fichier KeePass-2.53-Setup.exe avec le logiciel Checksum sous Mac
Vérification de l’empreinte numérique du fichier KeePass-2.53-Setup.exe avec le logiciel Checksum sous Mac

L’empreinte correspond, le fichier téléchargé est exactement le même que celui de l’éditeur.

4. Utiliser un antivirus en ligne

En cas de doute ou même de manière systématique, il est possible d’analyser les fichiers téléchargés dans un antivirus en ligne gratuit, comme le propose Virustotal par exemple.

Il suffit d’envoyer le fichier à analyser.



J’espère que cet article vous a aidé et que maintenant vous savez comment faire pour télécharger des fichiers en toute sécurité.

95% des brèches de cybersécurité sont dues à une erreur humaine selon The Global Risks Report 2022 de World Economic Forum.

Il ne faut pas exécuter ou ouvrir de fichier dont vous n’avez pas vérifié la source.

Par exemple les cracks de licences ou les générateurs de clé « keygen » obtenus sur des sites non officiels contiennent majoritairement des malwares et virus en tout genre.

Et vous, vérifiez-vous systématiquement les empreintes numériques des fichiers après les avoir téléchargés ? Dites-le-moi dans les commentaires ça m’intéresse beaucoup.

Laisser un commentaire