Strix Advanced Tools
FR

Vérifiez-nous — ne vous contentez pas de nous faire confiance.

Les outils Strix Advanced Tools sont gratuits, open source (MIT) et conçus pour fonctionner entièrement hors ligne. Nos binaires Windows ne sont pas encore signés numériquement avec un certificat payant — nous sommes un petit projet indépendant, sans budget, et nous préférons le dire clairement plutôt que de le cacher. Parce que chaque outil est open source, vous n’avez à nous croire sur parole pour rien. Voici comment le vérifier vous-même.

Dernière mise à jour

📖

Le code source est public

Chaque outil est un dépôt GitHub public sous licence MIT. Lisez chaque ligne, recompilez-le vous-même et confirmez qu’il fait exactement ce qu’il annonce.

🔗

Les binaires sont attestés

Chaque version comporte une attestation de provenance de build GitHub (SLSA Build L2) — une preuve cryptographique que le fichier a été compilé à partir de ce code source, sur les serveurs de GitHub, et n’a pas été modifié depuis.

✈️

Rien ne communique en secret

Les outils de bureau n’effectuent aucun appel réseau. Débranchez votre câble réseau et ils fonctionnent toujours ; surveillez votre trafic sortant et vous n’en verrez aucun.

Vérifiez votre téléchargement

La vérification est facultative — si vous avez téléchargé depuis une version GitHub, tout va déjà bien. Mais si vous voulez en être sûr, chaque version fournit un fichier SHA256SUMS, et voici comment le confronter. Remplacez le nom de fichier d’exemple par l’outil que vous avez téléchargé.

🪟 WindowsVérifier la somme de contrôle

Dans le dossier où vous avez enregistré le téléchargement, exécutez PowerShell :

Get-FileHash .\Strix-Inspector-Setup.exe -Algorithm SHA256

Comparez l’empreinte affichée à la ligne correspondante dans SHA256SUMS. Si elles sont identiques, le fichier est, octet par octet, celui que nous avons publié :

Algorithm  Hash                                                              Path
---------  ----                                                              ----
SHA256     3F2A…  (compare this to the value in SHA256SUMS)                    …\Strix-Inspector-Setup.exe
🐧 LinuxVérifier la somme de contrôle

Placez le téléchargement et son fichier SHA256SUMS dans le même dossier, puis :

sha256sum -c SHA256SUMS

Une réponse d’un seul mot par fichier — vous voulez obtenir OK :

Strix-Inspector-Setup.exe: OK
🔗 Tout système d’exploitationVérifier la provenance du build

Plus fort qu’une somme de contrôle : prouvez que le binaire a été compilé à partir de notre code source public, dans notre CI public. Nécessite GitHub CLI 2.49+ : GitHub CLI

gh attestation verify Strix-Inspector-Setup.exe --repo strix-tool/strix-inspector

Une ligne de réussite verte nommant le dépôt source exact qui a produit le fichier :

Loaded digest sha256:… for file://Strix-Inspector-Setup.exe
✓ Verification succeeded!

  - Source Repository: strix-tool/strix-inspector
  - Predicate type:    https://slsa.dev/provenance/v1

Les sommes de contrôle sont publiées dans chaque GitHub Release et répliquées via HTTPS — exemple SHA256SUMS. L’attestation de provenance est stockée sur GitHub, pas par nous : ni nous ni un miroir de téléchargement compromis ne pouvons donc la falsifier. SHA256SUMS

Quelles données quittent votre machine

La version courte : pour les outils de bureau, aucune. Voici le détail complet — et chaque ligne peut être confirmée par une capture de paquets.

CatégorieDe quoi il s’agitOù cela va
Les fichiers que vous traitezMétadonnées, contenu des disques, archives — lus et écrits sur place, sur votre machine.Jamais envoyés. Rien n’est transmis où que ce soit.
Les informations de votre systèmeNom d’hôte, nom d’utilisateur, numéros de série, adresses IP, matériel — affichés uniquement dans l’application.Affichés localement ; jamais transmis.
Réglages et rapportsPréférences, journaux, rapports HTML/PDF.Enregistrés sur le disque (%LOCALAPPDATA% / ~/.config) ; jamais synchronisés vers un serveur.
Statistiques d’usage et de plantageAucune. Il n’y a aucun SDK d’analyse, aucune télémétrie, aucune communication cachée.Rien n’est jamais collecté.
Trafic réseau sortant (outils de bureau)MetaVault, Pulse, Inspector, Sentinel, Sinkhole, Talon.Zéro socket sortant. Déconnectez le réseau — ils fonctionnent toujours.
Trafic réseau sortant (outils de reconnaissance)Vantage et Archer — dont c’est précisément la fonction.Uniquement des API publiques sans clé que vous déclenchez explicitement, après une confirmation de consentement, limitées par des délais d’expiration.

Avertissements de l’antivirus et de SmartScreen

Parce que nos applications Windows ne sont pas signées et sont empaquetées avec PyInstaller, Windows SmartScreen peut indiquer “éditeur inconnu” or “peu téléchargé,” et une poignée des quelque 70 moteurs antivirus peuvent signaler l’installateur. C’est attendu pour un logiciel récent, non signé et open source — il s’agit d’une heuristique générique liée à la manière dont l’application est empaquetée, et non de la détection d’un véritable logiciel malveillant.

Nous fournissons un lien vers une analyse VirusTotal en direct pour chaque build dès qu’une version sort, afin que vous puissiez constater le résultat actuel par vous-même. Nous ne publierons jamais de capture d’écran d’une « analyse propre » ni ne prétendrons « zéro détection » — un lien en direct sur lequel vous pouvez cliquer vaut mieux qu’une capture d’écran qui devient obsolète au build suivant.

Lisez le code source

La garantie la plus forte de toutes. Faites un grep dans n’importe quel dépôt sur socket, urllib, requests ou http et constatez par vous-même ce qui touche — et ne touche pas — au réseau.

Modèle de menace

Ce contre quoi Strix protège
Les fuites de données via les métadonnées de fichiers, les données récupérables sur des disques mis au rebut, les domaines de traqueurs/télémétrie/publicités, les connexions sortantes silencieuses, les programmes au démarrage et les appareils inconnus, ainsi que les outils propriétaires que vous ne pouvez pas inspecter.
Ce que Strix n’est PAS
Ce n’est ni un antivirus/EDR, ni un bac à sable, ni une défense contre un système d’exploitation compromis ou un logiciel malveillant s’exécutant déjà avec des droits d’administrateur. Les outils de bureau font remonter des informations et agissent sur votre commande ; ils ne combattent pas les menaces actives en temps réel.
Périmètre de confiance
La provenance prouve qu’un téléchargement provient, sans modification, de ce code source public via le CI de GitHub. Elle ne prouve pas que le code source est inoffensif — c’est le rôle du code MIT ouvert, que vous pouvez lire et recompiler.

Vous avez trouvé une vulnérabilité ?

Signalez-la en privé — n’ouvrez pas de ticket public pour une faille de sécurité. Chaque dépôt dispose d’un fichier SECURITY.md décrivant le modèle de menace et un canal de divulgation coordonnée, et le signalement privé de vulnérabilités de GitHub est activé. Nous n’exercerons aucune représaille et nous vous créditerons si vous le souhaitez.