Vérifiez-nous — ne vous contentez pas de nous faire confiance.
Les outils Strix Advanced Tools sont gratuits, open source (MIT) et conçus pour fonctionner entièrement hors ligne. Nos binaires Windows ne sont pas encore signés numériquement avec un certificat payant — nous sommes un petit projet indépendant, sans budget, et nous préférons le dire clairement plutôt que de le cacher. Parce que chaque outil est open source, vous n’avez à nous croire sur parole pour rien. Voici comment le vérifier vous-même.
Dernière mise à jour
📖
Le code source est public
Chaque outil est un dépôt GitHub public sous licence MIT. Lisez chaque ligne, recompilez-le vous-même et confirmez qu’il fait exactement ce qu’il annonce.
🔗
Les binaires sont attestés
Chaque version comporte une attestation de provenance de build GitHub (SLSA Build L2) — une preuve cryptographique que le fichier a été compilé à partir de ce code source, sur les serveurs de GitHub, et n’a pas été modifié depuis.
✈️
Rien ne communique en secret
Les outils de bureau n’effectuent aucun appel réseau. Débranchez votre câble réseau et ils fonctionnent toujours ; surveillez votre trafic sortant et vous n’en verrez aucun.
Vérifiez votre téléchargement
La vérification est facultative — si vous avez téléchargé depuis une version GitHub, tout va déjà bien. Mais si vous voulez en être sûr, chaque version fournit un fichier SHA256SUMS, et voici comment le confronter. Remplacez le nom de fichier d’exemple par l’outil que vous avez téléchargé.
🪟 WindowsVérifier la somme de contrôle
Dans le dossier où vous avez enregistré le téléchargement, exécutez PowerShell :
Comparez l’empreinte affichée à la ligne correspondante dans SHA256SUMS. Si elles sont identiques, le fichier est, octet par octet, celui que nous avons publié :
Algorithm Hash Path
--------- ---- ----
SHA256 3F2A… (compare this to the value in SHA256SUMS) …\Strix-Inspector-Setup.exe
🐧 LinuxVérifier la somme de contrôle
Placez le téléchargement et son fichier SHA256SUMS dans le même dossier, puis :
sha256sum -c SHA256SUMS
Une réponse d’un seul mot par fichier — vous voulez obtenir OK :
Strix-Inspector-Setup.exe: OK
🔗 Tout système d’exploitationVérifier la provenance du build
Plus fort qu’une somme de contrôle : prouvez que le binaire a été compilé à partir de notre code source public, dans notre CI public. Nécessite GitHub CLI 2.49+ : GitHub CLI
Les sommes de contrôle sont publiées dans chaque GitHub Release et répliquées via HTTPS — exemple SHA256SUMS. L’attestation de provenance est stockée sur GitHub, pas par nous : ni nous ni un miroir de téléchargement compromis ne pouvons donc la falsifier. SHA256SUMS
Quelles données quittent votre machine
La version courte : pour les outils de bureau, aucune. Voici le détail complet — et chaque ligne peut être confirmée par une capture de paquets.
Catégorie
De quoi il s’agit
Où cela va
Les fichiers que vous traitez
Métadonnées, contenu des disques, archives — lus et écrits sur place, sur votre machine.
Jamais envoyés. Rien n’est transmis où que ce soit.
Les informations de votre système
Nom d’hôte, nom d’utilisateur, numéros de série, adresses IP, matériel — affichés uniquement dans l’application.
Affichés localement ; jamais transmis.
Réglages et rapports
Préférences, journaux, rapports HTML/PDF.
Enregistrés sur le disque (%LOCALAPPDATA% / ~/.config) ; jamais synchronisés vers un serveur.
Statistiques d’usage et de plantage
Aucune. Il n’y a aucun SDK d’analyse, aucune télémétrie, aucune communication cachée.
Zéro socket sortant. Déconnectez le réseau — ils fonctionnent toujours.
Trafic réseau sortant (outils de reconnaissance)
Vantage et Archer — dont c’est précisément la fonction.
Uniquement des API publiques sans clé que vous déclenchez explicitement, après une confirmation de consentement, limitées par des délais d’expiration.
Avertissements de l’antivirus et de SmartScreen
Parce que nos applications Windows ne sont pas signées et sont empaquetées avec PyInstaller, Windows SmartScreen peut indiquer “éditeur inconnu” or “peu téléchargé,” et une poignée des quelque 70 moteurs antivirus peuvent signaler l’installateur. C’est attendu pour un logiciel récent, non signé et open source — il s’agit d’une heuristique générique liée à la manière dont l’application est empaquetée, et non de la détection d’un véritable logiciel malveillant.
Pourquoi cela se produit : le bootloader de PyInstaller est un format d’empaquetage courant (les logiciels malveillants l’utilisent aussi), un fichier tout neuf n’a aucune réputation de téléchargement, et les binaires non signés subissent une pénalité « suspect jusqu’à preuve du contraire ».
La véritable preuve ce sont la somme de contrôle et l’attestation de provenance ci-dessus, ainsi que le code source que vous pouvez lire — et non l’heuristique d’un quelconque éditeur.
Ce que nous faisons : nous signalons les faux positifs aux éditeurs à mesure qu’ils apparaissent, et nous postulons au programme gratuit de signature de code de la SignPath Foundation destiné aux projets open source, que nous déploierons à mesure que la réputation se construira.
Ne désactivez jamais votre antivirus. En cas de doute, vérifiez la somme de contrôle ou exécutez l’outil à partir du code source.
Nous fournissons un lien vers une analyse VirusTotal en direct pour chaque build dès qu’une version sort, afin que vous puissiez constater le résultat actuel par vous-même. Nous ne publierons jamais de capture d’écran d’une « analyse propre » ni ne prétendrons « zéro détection » — un lien en direct sur lequel vous pouvez cliquer vaut mieux qu’une capture d’écran qui devient obsolète au build suivant.
Lisez le code source
La garantie la plus forte de toutes. Faites un grep dans n’importe quel dépôt sur socket, urllib, requests ou http et constatez par vous-même ce qui touche — et ne touche pas — au réseau.
Les fuites de données via les métadonnées de fichiers, les données récupérables sur des disques mis au rebut, les domaines de traqueurs/télémétrie/publicités, les connexions sortantes silencieuses, les programmes au démarrage et les appareils inconnus, ainsi que les outils propriétaires que vous ne pouvez pas inspecter.
Ce que Strix n’est PAS
Ce n’est ni un antivirus/EDR, ni un bac à sable, ni une défense contre un système d’exploitation compromis ou un logiciel malveillant s’exécutant déjà avec des droits d’administrateur. Les outils de bureau font remonter des informations et agissent sur votre commande ; ils ne combattent pas les menaces actives en temps réel.
Périmètre de confiance
La provenance prouve qu’un téléchargement provient, sans modification, de ce code source public via le CI de GitHub. Elle ne prouve pas que le code source est inoffensif — c’est le rôle du code MIT ouvert, que vous pouvez lire et recompiler.
Vous avez trouvé une vulnérabilité ?
Signalez-la en privé — n’ouvrez pas de ticket public pour une faille de sécurité. Chaque dépôt dispose d’un fichier SECURITY.md décrivant le modèle de menace et un canal de divulgation coordonnée, et le signalement privé de vulnérabilités de GitHub est activé. Nous n’exercerons aucune représaille et nous vous créditerons si vous le souhaitez.