Les textes et cles secretes sont ils envoyes sur un serveur ?

Non. L outil utilise l API Web Crypto (SubtleCrypto) directement dans votre navigateur et ne transmet aucune donnee a un serveur externe. Tout se fait 100 pourcent en local.

Quel algorithme est utilise pour le HMAC ?

L outil calcule des signatures HMAC basees sur la fonction de hachage SHA 256, au format HMAC SHA 256. Le resultat principal est fourni en representation hexadecimale (et en base64 a titre indicatif).

A quoi sert un HMAC ?

Un HMAC (Hash based Message Authentication Code) permet de verifier l integrite et l authenticite d un message a l aide d une cle secrete partagee. Si le HMAC recalcule cote destinataire correspond au HMAC fourni, le message n a pas ete modifie et provient d une source detenant la cle.

Puis je utiliser cet outil en production pour des secrets sensibles ?

L outil peut etre pratique pour des tests, de la formation ou des verifications ponctuelles. Pour des cas critiques en production, privilegiez du code integre directement a vos applications ou des bibliotheques auditees, et limitez le partage de secrets sur des machines que vous ne maitrisez pas completement.

Signateur / vérificateur HMAC (SHA-256, en local)

Calculer et vérifier un HMAC SHA-256 en ligne (100 % local)

Cet outil vous permet de manipuler facilement des signatures HMAC SHA-256 : en quelques secondes, vous pouvez générer le HMAC d’un message à partir d’une clé secrète, ou vérifier qu’un HMAC fourni correspond bien à un couple (texte, clé). Le tout se fait directement dans votre navigateur, sans aucun envoi de données vers un serveur.

Le calcul repose sur l’API Web Crypto (window.crypto.subtle) et le codage UTF-8 de vos chaînes. L’outil renvoie le HMAC en hexadécimal (format le plus couramment utilisé) ainsi qu’une représentation base64 optionnelle, utile pour certaines API ou protocoles.

Un HMAC (Hash-based Message Authentication Code) est un mécanisme classique en cryptographie pour assurer l’intégrité et l’authenticité d’un message lorsqu’une clé secrète est partagée entre l’émetteur et le destinataire. Si le HMAC recalculé côté destinataire est identique au HMAC reçu, on sait que le message n’a pas été altéré et qu’il provient bien d’une source connaissant la clé.

• Génération de HMAC SHA-256 à partir d’un texte et d’une clé secrète ;
• Vérification de HMAC en comparant un HMAC fourni au résultat recalculé ;
• Résultat principal en hexadécimal, avec une version base64 en bonus ;
• Traitement 100 % local dans votre navigateur (utilisation de Web Crypto) ;
• Interface claire pour des tests rapides d’intégration, de debug ou de formation.

Pour des environnements de production sensibles, privilégiez des bibliothèques intégrées directement dans votre code serveur ou vos services, et évitez de manipuler des clés très sensibles sur des machines ou navigateurs que vous ne maîtrisez pas complètement. Cet outil est idéal pour le debug, la pédagogie et les vérifications ponctuelles.

Questions fréquentes (FAQ)

Quelle est la différence entre un hash simple et un HMAC ?

Un hash simple (comme SHA-256) ne prend pas en compte de clé secrète : il permet uniquement de vérifier l’intégrité d’une donnée. Un HMAC, lui, utilise à la fois un hash et une clé secrète partagée, ce qui permet de vérifier en plus l’authenticité du message (seuls ceux qui connaissent la clé peuvent produire un HMAC valide).

Dans quel cas utiliser un HMAC SHA-256 ?

On retrouve souvent les HMAC dans les APIs (signature de requêtes), les webhooks (vérification de la source d’un appel), ou dans des protocoles d’authentification simples basés sur un secret partagé entre client et serveur.

Pourquoi le HMAC est-il affiché en hexadécimal et en base64 ?

L’hexadécimal est très courant pour comparer des hashes, tandis que certaines APIs ou formats JSON utilisent du base64 pour transporter des données binaires. Cet outil fournit les deux représentations pour plus de flexibilité.

Pourquoi le résultat peut-il différer d’un autre outil ?

Assurez-vous d’utiliser exactement le même texte (y compris espaces et sauts de ligne) et la même clé, encodés de la même manière (UTF-8). Le moindre caractère différent change complètement le HMAC. Si un autre outil utilise une clé encodée en hex ou base64, convertissez-la au bon format avant comparaison.