Michel Claveau - MVP a écrit :

>> A mon avis, pour interdire à un soft de chercher à se mettre à jour,
>> le plus approprié est un firewall (qui contrôle ce qui essaie et
>> rentrer *et* ce qui essaie de sortir).
>
> À mon avis, tu as trop confiance dans les pare-feux. Pour contourner un
> pare-feu, il suffit à un logiciel de passer par un logiciel autorisé...

Je connais les logiciels qui installent des extensions dans les 
navigateurs et aussi ceux qui utilisent RunDLL
Autoriser RunDLL à sortir serait la porte ouverte à beaucoup d'abus.

> Par exemple, si tu as autorisé un logiciel écrit en Ruby, tu as autorisé
> la machine virtuelle, et donc tous les logiciels utilisant cette même
> machine virtuelle seront implicitement autorisés. Et c'est pareil avec
> Python, Perl, etc.

Chez moi, pas de machine virtuelle Ruby, Phyton, Perl...
Mais c'est sûr qu'il faut y penser.

Chez moi ce qui a le droit de sortir, c'est le navigateur, le 
niouzeur-courielleur, gwet

> Certes, les "vrais" pare-feux peuvent aller plus loin dans l'analyse des
> trames TCP/IP. Mais ce genre d'outil est hors de portée des utilisateurs
> courants, et même des TPE. Et ils ont aussi leurs limites.