Sécurité et confidentialité
Logiciel de tournoi poker 100 % offline : vos données joueurs restent chez vous
Pas de cloud, pas d'abonnement, pas de fuite. Tout tourne en local sur le PC du TD, dans une base SQLite chiffrée par les secrets natifs de Windows. PokClock ne fait aucun appel sortant non sollicité. À vrai dire, c'est l'inverse exact du modèle SaaS qui domine le marché aujourd'hui.
Le principe : zéro envoi par défaut
Les fiches joueurs (nom, e-mail, licence FFP, date de naissance, notes privées du TD) sont stockées dans une SQLite locale, sur votre PC, sous votre profil utilisateur. Le seul appel sortant possible, c'est le backup cloud vers OneDrive, Dropbox ou Google Drive. Et il est strictement opt-in. Et chiffré côté client avant l'envoi. Bref, vous décidez tout, sans rien à désactiver.
Les six mécaniques en place
Du stockage à la licence, en passant par la sauvegarde.
100 % offline
Base SQLite locale, aucun serveur applicatif. Le seul appel sortant possible reste le backup cloud opt-in (OneDrive, Dropbox ou Google Drive). Les MAJ ne montent rien sur le réseau.
Snapshots SHA-256
Chaque snapshot, généré toutes les trente secondes, est signé en SHA-256. Toute modification du fichier casse la signature, et la restauration la détecte immédiatement.
Secrets DPAPI Windows
Mot de passe SMTP, tokens OneDrive, Dropbox et Google Drive, clé de licence : tout est chiffré par DPAPI, l'API native de Windows. Inaccessible aux autres utilisateurs du même PC.
Hardware ID
La licence est liée à votre PC par un CRC32 sur MachineName, UserName et OSVersion. Quelqu'un récupère la clé sans le PC ? Inutilisable.
Anti-rollback registre
PokClock détecte si l'horloge système est remise en arrière pour prolonger un essai. Et bloque. C'est rare, mais ça arrive, et on a préféré couper court.
RGPD natif
Données joueurs locales, exportables en CSV, supprimables joueur par joueur. Vous êtes responsable de traitement, sans intermédiaire, sans sous-traitant à déclarer.
Audit log croupier complet
Chaque action croupier est tracée et signée : élimination, recave, modification stack, depuis quelle tablette, à quelle heure. Litige sur une bulle, contrôle fédération, contestation joueur : l'historique est là, opposable.
Bouton panique TD
Tablette dealer volée, dealer remercié, fin de quart : un seul bouton révoque toutes les sessions actives. Les tablettes redemandent un PIN au prochain refresh.
Auth tablette en triple couche
PIN à six chiffres généré côté PokClock + cookie HttpOnly + rate-limit double couche. Une tablette compromise n'expose ni votre BDD, ni vos joueurs, ni votre tournoi.
Binaire obfusqué et signé
Obfuscation ConfuserEx 2 (rename + control flow) plus signature Authenticode. Le reverse-engineering devient laborieux, et toute modification du binaire casse la signature immédiatement détectée par Windows.
Validation et garanties
Trois engagements concrets, pas du marketing.
Code obfusqué et signé
Le binaire est signé Authenticode et obfusqué. Personne ne peut injecter un payload silencieux sans casser la signature, et Windows lèverait l'alerte immédiatement.
Cloud chiffré côté client
Si vous activez le backup cloud (OneDrive, Dropbox ou Google Drive), les snapshots sont chiffrés sur votre PC avant l'envoi. Microsoft, Dropbox et Google reçoivent du chiffré illisible, vous gardez la clé.
Validation licence offline
SHA-256 et secret salt local. Aucun appel serveur à l'activation. Votre licence fonctionne même si notre site est down, ou si vous coupez Internet en plein tournoi.
En images
Les mécaniques de sécurité, en clair
Backup chiffré OneDrive, Dropbox et Google Drive, sécurité tablette dealer, RGPD natif.
Menu d'actions rapides sur un tournoi
Un clic et toutes les actions de pilotage sont là : inscriptions, activer, ouvrir l'horloge, gérer les tables, pause, terminer, backup vers le cloud, réinitialiser. Le contrôle complet du tournoi en deux secondes.
Sécurité de la tablette dealer
Un PIN à six chiffres et un QR code pour autoriser la tablette. Verrouillage auto en cas d'inactivité, limite d'actions par minute par dealer, révocation immédiate de toutes les sessions.
Réseau local et QR codes
Démarrez le serveur PWA en un clic. Adresse IP locale, port, statut « en cours d'exécution ». Deux QR codes auto-générés : un pour les joueurs, un pour la tablette dealer.
Questions fréquentes sur la sécurité et le RGPD
PokClock envoie-t-il des données à un serveur tiers ?+
Non, sauf si vous activez explicitement le backup cloud OneDrive, Dropbox ou Google Drive (opt-in et chiffré côté client). Aucun appel sortant non sollicité.
Suis-je conforme RGPD si je gère un club avec PokClock ?+
Oui. Les données restent sur votre PC, exportables et supprimables joueur par joueur. Vous êtes responsable de traitement, sans sous-traitant cloud à déclarer.
Comment fonctionne le chiffrement du backup cloud ?+
Chiffrement AES côté client, avant l'envoi vers OneDrive, Dropbox ou Google Drive. La clé est dérivée d'un secret stocké localement par DPAPI. Microsoft, Dropbox et Google reçoivent du chiffré illisible.
Que se passe-t-il si je change de PC ?+
Vous transférez votre licence sur le nouveau PC via une procédure de désactivation puis réactivation depuis votre espace client. Pas de double activation possible.
Est-ce que PokClock est auditable côté code ?+
Le code n'est pas open-source. En revanche, le binaire est signé Authenticode, et la base SQLite est ouvrable avec n'importe quel outil tiers pour vérifier le contenu de vos propres données.