Après le téléchargement d’un paquet d’installation depuis le site web thunderbird.net ou directement depuis les archives des versions de Thunderbird, vous pouvez vérifier que le téléchargement s’est terminé correctement et, éventuellement, qu’il s’agit d’un paquet authentique de Mozilla.

Pour chaque version, on trouve un dossier racine qui contient des sous-dossiers pour chaque système d’exploitation et dans lesquels sont stockés les fichiers des paquets d’installation dans des sous-dossiers pour chaque langue. Dans le dossier racine de chaque version, vous pouvez trouver un fichier texte nommé SHA256SUMS.

Vérifier que le téléchargement du paquet d’installation s’est déroulé avec succès

Pour réaliser cette vérification, suivez ces instructions :

1. Choisissez votre paquet d’installation, selon votre système d’exploitation et votre langue, puis téléchargez-le.
2. Utilisez un outil pour la calculer la somme de hachage SHA256 (qui est une sorte de somme de contrôle) du fichier que vous avez téléchargé et gardez-la à l’écran à fin de comparaison.
3. Revenez à votre navigateur dans le dossier racine (par exemple https://archive.mozilla.org/pub/thund.../128.5.0esr/) et affichez le fichier SHA256SUMS de la version que vous avez téléchargée.
4. Recherchez la ligne qui contient la langue et le nom du fichier que vous avez téléchargé (par exemple linux-i686/fr/thunderbird-128.5.0esr.tar.bz2). Sur cette ligne, la somme de hachage attendue pour le fichier est affichée. Assurez-vous que cette somme de hachage correspond à la sortie obtenue avec l’outil utilisé pour calculer la somme de hachage SHA256.

Si vous affichez le fichier SHA256SUMS d’une version récente de Thunderbird, que vous visualisez le fichier sur le site https://archive.mozilla.org et que la somme de hachage correspond, il y a de très fortes probabilités pour que votre téléchargement soit correct et authentique.

Vérifiez l’authenticité du fichier téléchargé (facultatif)

Si vous souhaitez également vérifier que vous visualisez le bon fichier SHA256SUMS (par exemple parce que vous avez téléchargé ces fichiers depuis un miroir), vous pouvez vérifier que le fichier porte la signature numérique de l’équipe Mozilla Software Release. Suivez ces instructions pour vérifier l’authenticité du fichier téléchargé :

1. Téléchargez les deux fichiers SHA256SUMS et SHA256SUMS.asc.
2. Pour vérifier la signature, vous pouvez utiliser le logiciel GnuPG et, en outre, vous devez obtenir la plus récente clé publique officielle de Mozilla utilisée pour signer ce fichier.
   • Le logiciel GnuPG est généralement déjà inclus dans les distributions Linux. Pour les autres systèmes d’exploitation, vous devriez pouvoir trouver des documents HOWTO qui décrivent comment installer et utiliser GPG4WIN pour Windows ou GPGTools pour macOS.
   • Utilisez GnuPG ou un logiciel similaire pour importer la clé publique de Mozilla, qui est habituellement annoncée sur le blog de sécurité de Mozilla. Au moment de la rédaction de ce document, la version la plus récente se trouve dans ce billet du blog de sécurité de Mozilla.
3. Utilisez maintenant GnuPG pour vérifier la signature contenue dans le fichier SHA256SUMS.asc par rapport aux données du fichier SHA256SUMS avec la commande suivante :

   gpg --verify SHA256SUMS.asc
   

4. Vous recevez ensuite les résultats de la comparaison. Dans l’exemple qui suit, il y a huit lignes de sortie :

gpg: assuming signed data in 'SHA256SUMS

gpg: Signature made Di 26 Sep 2023 20:49:02 CEST

gpg: using RSA key ADD7079479700DCADFDD5337E36D3B13F3D93274

gpg: Good signature from "Mozilla Software Releases <release@mozilla.com>" [unknown]

gpg: WARNING: This key is not certified with a trusted signature!

gpg: There is no indication that the signature belongs to the owner.

Primary key fingerprint: 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353

Subkey fingerprint: ADD7 0794 7970 0DCA DFDD 5337 E36D 3B13 F3D9 3274

Les lignes 7 et 8 vous indiquent la clé utilisée pour créer la signature numérique. Vous pouvez comparer les empreintes numériques affichées sur ces lignes à l’empreinte numérique affichée sur le billet du blog Mozilla security. Si elles correspondent, vous avez vérifié avec succès le fichier SHA256SUMS.