Richard Hofrance Bankouezi · Consultant cyberdéfense MÉRIDIEN 002 · 47.0°N // 2.3°E · UTC+2 Disponible · missions Q3 2027
Richard Hofrance Bankouezi
← Écrits / Infra & homelab
Infra & homelab

eBPF en défense : observer sans alourdir

19 AVR. 2026 · 7 MIN DE LECTURE

En défense, on vit un vieux compromis : plus on veut voir, plus on alourdit. Chaque agent, chaque hook, chaque capture de paquets a un coût · et finit par ralentir précisément ce qu’il est censé protéger. eBPF est la première techno qui m’a fait reposer la question autrement : voir depuis le noyau, sans le freiner.

eBPF, c’est la possibilité de charger de petits programmes vérifiés directement dans le noyau Linux, déclenchés sur des événements précis : un appel système, l’ouverture d’un fichier, une connexion réseau. Le programme s’exécute là où l’information naît, filtre à la source, et ne remonte que l’essentiel. On échange la lourdeur d’un agent qui aspire tout contre la finesse d’une sonde qui ne regarde que ce qui compte.

Côté défense, l’écosystème a mûri vite. Falco pour des règles de comportement (un shell qui s’ouvre dans un conteneur, un binaire qui touche /etc/shadow), Tetragon pour relier les événements à l’identité des processus et des charges Kubernetes, bpftrace pour une question ponctuelle sans rien installer de permanent. Le point commun : une visibilité au niveau syscall avec un surcoût que, la plupart du temps, on ne mesure même pas.

Tout n’est pas magique. Le vérificateur du noyau est strict, la courbe d’apprentissage est réelle, et une sonde mal écrite reste une sonde dans un chemin critique. Mais le rapport signal/bruit a changé de catégorie. Pour de l’observabilité de sécurité · détecter un comportement plutôt qu’une signature, comprendre ce qu’un processus a vraiment fait · eBPF tient une promesse que les agents classiques n’ont jamais pu tenir : être partout sans peser nulle part.

Ce que ça change
Voir au niveau noyau
Syscalls, fichiers, réseau · l’information captée là où elle naît, pas reconstruite après coup.
Filtrer à la source
Le programme trie dans le noyau · on ne remonte que l’essentiel, pas tout le flux.
Surcoût minime
Une sonde ciblée, pas un agent qui aspire tout · le coût est souvent imperceptible.
Comportement, pas signature
On détecte ce qu’un processus fait réellement, pas un motif connu d’avance.
Verbatim
Voir le noyau sans le ralentir · c’est la promesse tenue d’eBPF, et elle reprogramme le vieux compromis entre visibilité et coût.
· Note technique
# Tracer chaque exec() avec le processus parent · bpftrace
bpftrace -e 'tracepoint:syscalls:sys_enter_execve {
  printf("%s -> %s\n", comm, str(args->filename));
}'
Une question posée au noyau, sans rien installer · qui exécute quoi, en direct.
Richard Hofrance Bankouezi
Concevoir la défense.
La tenir · avec vous.
Me contacter
MÉRIDIEN 002 · 47.0°N // 2.3°E · UTC+2
Disponible Q3 2027 · réponse < 48 h
© 2026 Richard Hofrance Bankouezi
Mentions légales · Conditions · Confidentialité