Vérifier l’authenticité des sources d’installation Microsoft et Linux avec CheckISO
L’image ISO qui sert à installer un système d’exploitation est-elle bien celle publiée par l’éditeur ? Vérifier l’authenticité des sources d’installation reste une mesure élémentaire, recommandée par les principaux référentiels de sécurité, mais encore rarement appliquée.
En entreprise, cette vérification participe directement à la sécurité de la chaîne d’approvisionnement logicielle : un poste de travail, un serveur ou une machine virtuelle déployés à partir d’une image altérée propagent silencieusement une menace sur l’ensemble du parc. Peu importe le scénario, le risque est le même lorsqu’on récupère une distribution Linux ou une ISO Windows sur un dépôt non officiel ou une archive ancienne.
Dans cet article, nous allons revenir sur les risques liés à l’intégrité des sources d’installation, sur les méthodes de vérification et sur leurs limites. Nous présenterons ensuite CheckISO, un outil open source qui propose une source de vérification indépendante et complémentaire pour les images Microsoft et Linux.
Sommaire
- Comment vérifier l’authenticité d’une image ISO ?
- Pourquoi vérifier l’intégrité des sources d’installation ?
- Comprendre le hash (empreinte numérique)
- Les méthodes de vérification et leurs limites
- CheckISO : une source de vérification indépendante et complémentaire
- Bonnes pratiques pour fiabiliser ses sources d’installation
- Conclusion
- FAQ
Comment vérifier l’authenticité d’une image ISO ?
Vérifier l’authenticité d’une image ISO consiste à s’assurer qu’elle provient bien d’une source de confiance et qu’elle n’a pas été modifiée. En pratique, cela repose sur trois contrôles, du plus simple au plus robuste :
- Comparer l’empreinte (hash) de l’ISO téléchargée avec celle publiée par l’éditeur. C’est la méthode de base : si les deux empreintes sont identiques, le fichier n’a pas été altéré.
- Vérifier la signature cryptographique (GPG/PGP) lorsque l’éditeur la fournit, comme le font la plupart des distributions Linux. C’est le contrôle le plus fiable, car il prouve aussi qui a produit l’empreinte.
- Recouper avec une source tierce indépendante (base d’empreintes distincte) pour ne pas reposer sur un point de confiance unique, en particulier pour les produits Microsoft et les versions anciennes.
Ces trois approches sont complémentaires : une simple comparaison d’empreinte garantit l’intégrité, une signature GPG garantit en plus la provenance, et une source tierce ajoute un contrôle indépendant.
Pourquoi vérifier l’intégrité des sources d’installation ?
La vérification de l’origine et de l’intégrité d’une image ISO participe directement à la chaîne de confiance d’un système d’information.
Une image d’installation compromise peut propager une modification, une vulnérabilité ou un code malveillant à l’ensemble des systèmes déployés à partir de celle-ci, avec un impact potentiellement important et difficile à détecter.
Les scénarios de risque
Une modification, qu’elle soit volontaire (malveillance) ou involontaire (erreur de manipulation, corruption au téléchargement), peut avoir des conséquences influentes. Voici les principaux scénarios :
- Compromission silencieuse : l’ajout d’une simple DLL, d’un script, d’un outil non officiel ou d’exclusion antivirus dans l’ISO passe inaperçu.
- Persistance d’une vulnérabilité : une faiblesse intégrée à l’image est automatiquement reproduite sur l’ensemble des systèmes déployés, compliquant sa détection et sa remédiation.
- Rupture de la chaine de confiance : la plupart du temps, la même personne est en possession des deux informations (le hash et l’image source), et la vérification est faite de manière manuelle et sporadique.
Le schéma ci-dessous illustre cette menace : une image ISO et son hash « officiel » ont été modifiés par un attaquant. La procédure de vérification standard valide alors l’ISO comme « conforme », alors que le système est déjà compromis avant même l’installation.

Ce qu’en disent les référentiels GRC
Cette problématique relève directement de la gouvernance, des risques et de la conformité (GRC). Plusieurs mesures de l’ISO/IEC 27001:2022 s’y rapportent, en particulier au titre de la sécurité de la chaîne d’approvisionnement :
- A.5.19 – Relations avec les fournisseurs
- A.5.21 – Gestion de la sécurité dans la chaîne d’approvisionnement TIC
- A.8.19 – Installation de logiciels sur les systèmes en production
Au-delà de l’ISO 27001, la vérification de l’intégrité des médias d’installation s’inscrit dans la logique plus large de la sécurité de la chaîne d’approvisionnement logicielle. Un sujet devenu central à l’heure actuelle, étant donné la multitude d’attaques visant les processus de distribution et de build des éditeurs.
Comprendre le hash (empreinte numérique)
Un hash est le résultat d’un calcul mathématique appliqué à l’ensemble des octets d’un fichier. L’empreinte obtenue dépend directement du contenu binaire, de l’ordre des données et de leur position. Toute modification, même minime, produit une empreinte totalement différente : cette propriété permet de vérifier avec un haut niveau de confiance que deux fichiers sont rigoureusement identiques.
En revanche, un hash ne dit pas qui a créé le fichier ni d’où il provient. Il permet de vérifier qu’un fichier n’a pas été modifié entre sa publication et son utilisation, mais pas d’authentifier l’éditeur : c’est précisément le rôle de la signature cryptographique, que nous abordons plus loin.
Note : le hash d’un fichier est identique entre deux copies au contenu rigoureusement identique, même si leurs noms diffèrent. À l’inverse, dès qu’un seul bit change, l’empreinte change. Aujourd’hui, on privilégie (ou ) ; et , considérés comme cryptographiquement faibles, ne doivent plus servir qu’à détecter une corruption accidentelle.
Pour le calcul concret de l’empreinte, IT-Connect propose déjà des tutoriels dédiés : calculer un hash avec Get-FileHash sous Windows et vérifier l’intégrité d’un fichier avec sha256sum sous Linux.
Les méthodes de vérification et leurs limites
Avant de présenter CheckISO, il est utile d’évoquer les méthodes de vérification, car elles ne se valent pas et se complètent.
Comparer l’empreinte avec la valeur officielle
C’est la méthode de référence pour Microsoft : on calcule le hash de l’ISO téléchargée, puis on le compare à la valeur publiée par l’éditeur. Sous Windows, la commande suffit :
Sous Linux, on utilise , idéalement avec l’option qui compare automatiquement l’ISO au fichier d’empreintes fourni par l’éditeur :
Côté Microsoft, l’empreinte de référence se trouve sur la page de téléchargement officielle (par exemple pour Windows 11, où Microsoft invite à vérifier le hash une fois le téléchargement terminé) ou, en entreprise, sur le centre de gestion des licences en volume (VLSC). Le centre de téléchargement Microsoft ne propose toutefois que les dernières versions supportées : pour une version retirée de ces portails, une base d’empreintes tierce prend le relais (nous en reparlerons au moment d’évoquer CheckISO).
La signature GPG : le contrôle cryptographique de référence
La comparaison d’empreinte garantit l’intégrité, mais pas la provenance : si un attaquant remplace à la fois l’ISO et le hash publié, la comparaison reste « conforme ». Pour lever cette limite, la plupart des distributions Linux et BSD signent leur fichier d’empreintes avec une clé GPG. C’est le mécanisme cryptographique de référence pour vérifier indépendamment l’authenticité d’une source.
Le principe : l’éditeur publie un fichier accompagné d’une signature détachée (ou ). On importe la clé publique officielle de l’éditeur, dont l’empreinte est diffusée par de multiples canaux, puis on vérifie la signature :
Si la signature est valide, vous avez la garantie que le fichier d’empreintes provient bien de l’éditeur et n’a pas été falsifié. La comparaison d’empreinte qui suit authentifie alors réellement l’image. Sur IT-Connect, nous en avions parlé dans le chapitre Installation de Kali Linux à partir d’une image ISO de l’un de nos cours.
Note : la signature GPG est plus robuste que la simple comparaison d’empreinte, mais elle suppose que l’éditeur la fournisse et que l’on ait validé l’empreinte de sa clé publique par un canal de confiance.
Le cas particulier de Microsoft
Contrairement aux distributions Linux, Microsoft ne publie pas de fichier d’empreintes signé en GPG pour ses images grand public. Il n’existe pas de chaîne de signature publique unique permettant de tout vérifier facilement.
C’est précisément dans cet écosystème, et pour les versions historiques retirées des portails officiels, qu’une source d’empreintes tierce et indépendante prend tout son intérêt comme contrôle complémentaire.
Les limites communes à toutes ces méthodes
Quelle que soit la méthode, certaines limites subsistent :
- un site officiel compromis peut diffuser un hash falsifié
- une même personne peut gérer à la fois la source et la référence
- les versions en fin de support disparaissent des sites officiels.
Recouper avec une source indépendante permet d’atténuer ces angles morts, sans pour autant constituer une garantie absolue : on déplace alors une partie de la confiance vers cette source tierce, qu’il faut elle aussi évaluer.
CheckISO : une source de vérification indépendante et complémentaire
Face à ces limites, nous avons décidé de proposer une approche complémentaire fondée sur un principe simple : introduire une source tierce de vérification indépendante et comparer les résultats obtenus.
Qu’un hash soit calculé en SHA256 ou SHA512 est une chose, mais disposer d’une source distincte capable de confirmer ou d’infirmer le résultat apporte un niveau de confiance supplémentaire. C’est dans cette logique qu’est né le projet CheckISO, dont l’objectif est de fournir un contrôle complémentaire et indépendant, sans intervenir dans le processus de téléchargement ou de déploiement.

Présentation de l’outil
CheckISO est un projet open source développé pour répondre à cette problématique par des membres de la communauté Itconnect. Le projet est gratuit et se décline en plusieurs formats pour s’adapter aux usages :
- Un script PowerShell
- une application Windows publiée sur le Microsoft Store
- Un exécutable portable (.exe) signé
- Une base de données en ligne consultable depuis un navigateur.
Initialement orienté vers les images Microsoft (Windows 10/11, Windows Server, SQL Server, Office), le projet a évolué pour intégrer une base dédiée aux distributions Linux. Il calcule l’empreinte d’une image ISO ( par défaut, et jusqu’à ) puis la compare à une base de référence, ce qui évite d’avoir à rechercher manuellement le hash sur le site officiel.
Les ressources du projet :
- Dépôt GitHub : github.com/dakhama-mehdi/Check-ISO-Authenticity
- Base d’empreintes en ligne : checkiso.logonit.fr (qui est tout simplement un raccourci du nom de domaine de la base présente dans le github)
Utiliser le script ou l’application
Le script PowerShell se télécharge depuis le dépôt du projet et s’exécute sans droits particuliers.

Depuis le Microsoft Store, recherchez « CheckISO », cliquez sur Installer puis sur Ouvrir. Cette méthode ne nécessite pas de droits administrateur.

Une fois lancé, l’outil est simple à utiliser : sélectionnez l’image ISO à analyser, puis cliquez sur CheckISO pour lancer la vérification.

À l’issue de l’analyse, le hash calculé ainsi que la version correspondante sont affichés. Si aucune correspondance n’est trouvée dans la base, un message d’alerte apparaît en rouge.

La base d’empreintes en ligne
En complément de l’application, une base de données en ligne est disponible à l’adresse checkiso.logonit.fr. Des mécanismes de collecte automatisés (sur la forme de workflows) l’alimentent à partir de différents dépôts officiels et identifient les nouvelles versions ainsi que leurs empreintes associées, tout cela est porté sur le Github (workflow et site).
L’objectif est de fournir une source complémentaire de vérification couvrant les principales distributions Linux de même que différentes versions historiques, lorsqu’elles restent disponibles.

Vous pouvez rechercher une image à partir de son hash ou directement à partir du nom de la distribution.

Cas pratique : recouper une source non officielle
L’intérêt d’une source tierce apparaît particulièrement lors de la vérification d’archives ou de dépôts non officiels. Lors de tests, plusieurs cas ont été identifiés où les informations publiées par certains sites de téléchargement populaires différaient des empreintes disponibles sur les sites officiels.
Dans l’exemple ci-dessous, le résultat retourné par CheckISO correspond à celui publié par l’éditeur, alors qu’une différence était observée sur le site tiers utilisé pour le téléchargement.


Bien positionner CheckISO
Pour rester honnête sur le périmètre de l’outil, quelques points méritent d’être soulignés. CheckISO est un contrôle complémentaire, et non un substitut à la signature GPG : lorsqu’un éditeur Linux fournit un fichier , la vérification de signature reste le contrôle le plus fiable, car elle authentifie cryptographiquement la provenance. CheckISO trouve surtout sa valeur là où ce mécanisme n’existe pas (images Microsoft) ou n’est plus accessible (versions retirées des sites officiels).
Par ailleurs, recourir à une base tierce revient à accorder une part de confiance à cette base et à ses mécanismes de collecte : c’est une diversification du point de confiance, pas une vérité absolue. La bonne pratique consiste donc à croiser les contrôles plutôt qu’à en privilégier un seul.
Bonnes pratiques pour fiabiliser ses sources d’installation
En matière de vérification de l’intégrité des sources, quelques principes simples suffisent à élever sensiblement le niveau de confiance :
- Télécharger depuis la source officielle (éditeur, miroir reconnu) plutôt que depuis un site de partage tiers.
- Privilégier la signature GPG quand l’éditeur la fournit : c’est le contrôle le plus robuste sous Linux et BSD.
- Recouper avec une source indépendante (base d’empreintes tierce comme CheckISO) lorsque la signature n’est pas disponible, notamment pour les produits Microsoft.
- Tenir un référentiel interne des empreintes validées, pour retrouver une référence même quand la version n’est plus en ligne. L’outil ISOMan peut aider à centraliser et organiser une bibliothèque d’images ISO.
- Séparer les rôles : éviter que la même personne gère à la fois la source et le contrôle, afin de préserver la chaîne de confiance.
- Surveiller l’intégrité dans la durée sur les systèmes en production grâce à une solution comme AIDE.
Conclusion
Vérifier l’authenticité des sources d’installation n’est ni complexe ni coûteux : c’est avant tout une question de méthode et de discipline. La cybersécurité ne repose pas uniquement sur des outils ou des budgets, mais sur des contrôles adaptés et appliqués de façon régulière.
Aucune méthode n’est suffisante à elle seule. La comparaison d’empreinte garantit l’intégrité, la signature GPG y ajoute la preuve de la provenance, et une source tierce comme CheckISO apporte un contrôle indépendant, particulièrement utile pour les images Microsoft et les versions historiques. C’est en combinant ces approches que l’on réduit réellement le risque lié aux sources d’installation.
FAQ
Que faire si le hash ne correspond pas ?
N’utilisez pas l’image. Une empreinte différente signifie que le fichier n’est pas identique à la référence : il peut s’agir d’une corruption au téléchargement (le plus fréquent), d’une version différente, ou d’une altération volontaire. Re-téléchargez l’ISO depuis la source officielle et vérifiez à nouveau.
Comment vérifier une version ancienne qui n’est plus disponible officiellement ?
C’est l’un des cas où une base d’empreintes tierce est la plus utile : les éditeurs retirent souvent les anciennes versions de leurs sites, ce qui prive d’un point de comparaison. Une base comme CheckISO conserve des empreintes de versions historiques, lorsqu’elles restent disponibles, et permet de recouper l’authenticité d’une image archivée.
Quel algorithme de hash utiliser : MD5, SHA1 ou SHA256 ?
Privilégiez SHA256, voire SHA512. Les algorithmes MD5 et SHA1 sont considérés comme cryptographiquement faibles. La plupart des éditeurs publient aujourd’hui des empreintes SHA256.
Faut-il vérifier l’intégrité aussi dans un contexte personnel ?
Oui. Le risque ne dépend pas du contexte mais de la source : récupérer une ISO Windows ou une distribution Linux sur un dépôt non officiel ou une archive expose aux mêmes altérations qu’en entreprise. La vérification d’empreinte ne prend que quelques secondes et reste une bonne habitude, en homelab comme en production. À titre perso, c’est d’autant plus vrai que l’on peut être amené à explorer des sources non recommandables…
Comment conserver une trace des empreintes validées dans une organisation ?
Tenez un référentiel interne des images validées et de leurs empreintes. Des outils de centralisation d’images ISO comme ISOMan facilitent cette organisation, et une solution de contrôle d’intégrité comme AIDE permet de surveiller les fichiers dans la durée.
CheckISO remplace-t-il la vérification de signature GPG ?
Non. La signature GPG reste le contrôle cryptographique le plus fiable lorsqu’elle est disponible, car elle authentifie la provenance du fichier d’empreintes. CheckISO est un contrôle complémentaire, particulièrement utile pour les images Microsoft (qui ne disposent pas d’une chaîne GPG publique) et pour les versions historiques retirées des sites officiels. La bonne pratique consiste à croiser les deux.