fr

La sécurité chez gottrix

gottrix.app traite les fichiers à 100 % localement dans votre navigateur : le code de conversion n'a accès à aucun serveur externe (imposé par la Content-Security-Policy), un envoi est donc techniquement impossible. La diffusion s'effectue en TLS 1.2/1.3 avec HSTS (2 ans), un ensemble complet d'en-têtes de sécurité et un hébergement chez Hetzner en Allemagne. Chaque affirmation de cette page est vérifiable par vous-même.

Architecture zéro envoi : la sécurité par suppression

Les convertisseurs en ligne habituels envoient votre fichier vers un serveur, le traitent là-bas puis vous renvoient le résultat - chacune de ces étapes est une surface d'attaque. gottrix supprime entièrement l'étape critique : les moteurs (pour les images, les PDF, l'audio, la vidéo et plus encore) s'exécutent en WebAssembly directement dans votre navigateur. Ce qui n'est jamais transmis ne peut être intercepté en chemin, ne peut fuiter d'aucun serveur et ne peut être exigé de personne.

Cela est imposé par l'architecture, pas par une politique, avec deux zones strictement séparées : le code qui touche les octets de votre fichier (moteurs et web workers) est limité à sa propre origine par la Content-Security-Policy et ne contient aucun appel réseau - un test automatique le vérifie à chaque build. Le niveau page, qui ne voit jamais vos fichiers, ne peut atteindre qu'une liste blanche d'analytique documentée.

  • Moteurs et workers : 0 primitive réseau, aucune origine externe - vérifié statiquement à chaque build.
  • Niveau page : requêtes externes uniquement vers la liste blanche d'analytique documentée, jamais d'octets de fichier.
  • Aucun repli par envoi : si le traitement local échoue, vous obtenez un message d'erreur honnête - jamais un détour par serveur.
  • Preuve hors ligne : après votre première visite, les outils continuent de fonctionner en mode avion - la preuve la plus forte que rien n'est envoyé.

Transport : TLS et HSTS

Le site est diffusé exclusivement en HTTPS - TLS 1.2 et 1.3 avec des suites de chiffrement modernes et des certificats gérés automatiquement. Le HTTP Strict Transport Security (HSTS) est défini avec max-age=63072000 (2 ans) sous-domaines inclus : le navigateur impose ainsi HTTPS de lui-même lors de chaque visite future. Pour situer les choses : le contenu de vos fichiers ne transite jamais par cette connexion, car il ne quitte jamais votre appareil - le chiffrement du transport protège la diffusion du site lui-même.

En-têtes HTTP de sécurité

Chaque réponse du serveur porte un ensemble complet d'en-têtes de sécurité. Les valeurs sont une configuration, pas une aspiration : un test automatique interrompt tout déploiement où l'une d'elles manque ou diffère.

En-têtes HTTP de sécurité
En-tête et valeurEffet
Strict-Transport-Security: max-age=63072000; includeSubDomainsImpose HTTPS pendant 2 ans, sous-domaines inclus.
X-Frame-Options: DENYInterdit d'intégrer le site dans des cadres externes (protection contre le clickjacking, doublement sécurisée via frame-ancestors dans la CSP).
X-Content-Type-Options: nosniffEmpêche le navigateur de deviner les types de contenu et d'exécuter des fichiers comme des scripts.
Referrer-Policy: strict-origin-when-cross-originNe transmet aux sites externes que l'origine au maximum, jamais l'URL complète.
Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ...Désactive 12 API d'appareils et de capteurs (caméra, microphone, position, USB et plus) dont le site n'a pas besoin ; seul le mode plein écran reste autorisé pour sa propre origine.
Cross-Origin-Opener-Policy: same-originIsole la fenêtre du navigateur des sites externes qui l'ont ouverte.

La Content-Security-Policy in extenso

La CSP est le verrou technique derrière la garantie zéro envoi. Elle est générée à partir d'un fichier source unique et affichée ici en direct depuis cette même source - les 15 directives, sans coupure :

  • default-src 'self'
  • script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.com
  • style-src 'self' 'unsafe-inline'
  • img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • media-src 'self' blob:
  • font-src 'self'
  • connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • worker-src 'self' blob:
  • frame-src 'self' blob: https://challenges.cloudflare.com
  • child-src 'self' blob:
  • object-src 'none'
  • base-uri 'none'
  • form-action 'self'
  • frame-ancestors 'none'
  • upgrade-insecure-requests

Google CSP Evaluator (vérifié le 09/07/2026) : 0 constat de sévérité élevée. Outre sa propre origine, connect-src n'autorise que la liste blanche d'analytique documentée au niveau page - des métadonnées, jamais le contenu des fichiers.

Vérification indépendante

Trois contrôles externes sont fermement planifiés et s'exécuteront contre le domaine en production au lancement public : SSL Labs (configuration TLS), Mozilla Observatory (posture de sécurité HTTP) et securityheaders.com (exhaustivité des en-têtes). Les résultats ne sont affichés et liés qu'une fois les analyses réellement effectuées - gottrix n'affiche jamais de sceau ou de note non vérifiés, et un test automatique dans chaque build l'impose.

Hébergement et localisation des données

Les serveurs d'origine sont exploités par Hetzner Online GmbH en Allemagne et relèvent du RGPD. Ils n'hébergent que le site statique : aucun compte utilisateur, aucun contenu de fichier, aucune base de données de contenu. Les journaux serveur ne contiennent que les données d'accès techniquement nécessaires, avec une courte durée de conservation ; un contrat de sous-traitance existe avec Hetzner. Le traitement des fichiers ayant lieu localement dans votre navigateur, le contenu de vos fichiers n'atteint de toute façon jamais cet emplacement.

Statistiques et consentement

Les statistiques d'usage anonymes (Google Analytics 4 avec Consent Mode v2 Advanced) démarrent avec tous les signaux sur refusé : sans votre consentement, aucun cookie de statistiques n'est déposé et aucun identifiant n'est créé. Avec votre consentement, seules les pages vues et l'identifiant de l'outil utilisé sont mesurés au maximum - jamais les noms de fichiers, tailles de fichiers ou contenus de fichiers. Tous les détails et les bases légales figurent dans la politique de confidentialité.

Lire la politique de confidentialité

Questions fréquentes sur la sécurité

gottrix.app est-il sécurisé ?

Sa sécurité repose sur l'architecture plutôt que sur des promesses : les fichiers sont traités exclusivement en local dans votre navigateur et ne sont jamais transmis à un serveur - une Content-Security-Policy stricte interdit au code de conversion toute connexion externe. S'y ajoutent TLS 1.2/1.3 avec HSTS, un ensemble complet d'en-têtes de sécurité et un hébergement en Allemagne. Chacun de ces points est vérifiable par vous-même dans le code source, l'onglet réseau ou via le test du mode avion.

Mes fichiers sont-ils envoyés ou stockés quelque part ?

Non. La conversion s'exécute entièrement dans la mémoire de votre navigateur ; il n'existe aucun point d'envoi et aucun stockage serveur pour le contenu des fichiers. La Content-Security-Policy interdit au code des moteurs et des workers toute connexion à des serveurs externes, et un test automatique le vérifie à chaque build. Fermez l'onglet et les données disparaissent - il n'y a rien à supprimer côté serveur.

Quel chiffrement utilise gottrix.app ?

Le site est diffusé exclusivement en HTTPS avec TLS 1.2 et 1.3 et des suites de chiffrement modernes ; HSTS impose HTTPS pendant deux ans, sous-domaines inclus. Le contenu de vos fichiers ne transite lui-même par aucune connexion, car il ne quitte jamais votre appareil - le chiffrement du transport protège la diffusion du site et les métadonnées d'usage optionnelles fondées sur le consentement.

Où les serveurs sont-ils hébergés ?

Les serveurs d'origine sont exploités par Hetzner Online GmbH en Allemagne, sous le régime du RGPD. Ils n'hébergent que le site statique : aucun compte utilisateur, aucun contenu de fichier, aucune base de données de contenu. Le traitement ayant lieu localement dans votre navigateur, l'emplacement du serveur est sans importance pour le contenu de vos fichiers - il ne l'atteint jamais.

Comment puis-je vérifier moi-même ces affirmations de sécurité ?

Trois moyens ne nécessitant aucune expertise particulière : le test du mode avion (ouvrez un outil, déconnectez-vous, convertissez - cela continue de fonctionner), l'onglet réseau des outils de développement (F12 : aucune requête de fichier pendant la conversion) et les en-têtes de réponse que tout navigateur peut afficher. Le guide étape par étape figure sur la page de preuve ; au lancement public, des analyses externes de SSL Labs, Mozilla Observatory et securityheaders.com viendront s'y ajouter.

Quelles données gottrix collecte-t-il au juste ?

Sans votre consentement : aucun cookie de statistiques ni identifiant, seulement des journaux serveur techniquement nécessaires à durée de conservation courte. Avec votre consentement, Google Analytics 4 mesure un usage agrégé, comme les pages vues et l'identifiant de l'outil utilisé ; les noms de fichiers, tailles de fichiers et contenus de fichiers ne sont jamais enregistrés. Les bases légales complètes et la façon de retirer votre consentement figurent dans la politique de confidentialité.

Comment le vérifier