Richard Hofrance Bankouezi · Consultant cyberdéfense MÉRIDIEN 002 · 47.0°N // 2.3°E · UTC+2 Disponible · missions T3 2026
Richard Hofrance Bankouezi
← Écrits / Détection
Détection

Sécuriser les flux avec eBPF : implémentation pratique avec Tetragon

22 MARS 2026 · 10 MIN DE LECTURE

Une alerte SIEM, c’est un constat : le processus suspect a déjà tourné, souvent depuis un moment. Ce que je voulais tester sur mon infra, c’est couper avant la fin de l’action · pas journaliser un dégât, mais refuser le geste au niveau du noyau, sans toucher au code de l’application. C’est le pas entre supervision passive et blocage actif.

Un agent en espace utilisateur reçoit l’événement après coup : il peut le journaliser, rarement l’empêcher. Tetragon, lui, s’accroche aux points d’entrée du noyau via eBPF et rend son verdict pendant que l’appel système est encore en cours · sur un shell lancé là où rien ne devrait en lancer, ou une écriture interdite, il n’enregistre pas la déviation, il y met fin (SIGKILL) avant qu’elle n’aboutisse.

Sécurité proactive avec Tetragon
Filtrage noyau
Application des politiques directement dans l’espace noyau via eBPF.
Blocage en temps réel
Capacité d’envoyer un signal SIGKILL immédiat pour tuer le processus déviant.
Contexte Kubernetes
Corrélation native des événements système avec les namespaces et pods.
Zéro modification de code
Sécurisation sans modifier l’application ni ses dépendances.
Verbatim
La supervision passive constate les dégâts. Tetragon et eBPF coupent le processus suspect à la microseconde près.
· Note opérationnelle
# On accroche le point LSM security_file_permission : il expose le chemin
# du fichier (arg 0), ce que sys_write ne permet pas · l’argument 1 de
# write() est le tampon de données, jamais un chemin.
apiVersion: cilium.io/v1alpha1
kind: TracingPolicy
metadata:
  name: block-boot-write
spec:
  kprobes:
    - call: "security_file_permission"
      syscall: false
      args:
        - index: 0
          type: "file"
      selectors:
        - matchArgs:
            - index: 0
              operator: "Prefix"
              values:
                - "/boot/"
          matchActions:
            - action: Sigkill
Politique Tetragon pour interdire l’écriture dans /boot et tuer le processus coupable.
Richard Hofrance Bankouezi
Concevoir la défense.
La tenir.
Me contacter
MÉRIDIEN 002 · 47.0°N // 2.3°E · UTC+2
Disponible T3 2026 · réponse < 48 h
© 2026 Richard Hofrance Bankouezi
Mentions légales · Conditions · Confidentialité