Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle se déroulera à Rennes du 3 au 5 juin 2026.

Metamorph - Un outil pour répliquer la télémétrie ETW des EDRJean-Baptiste Mesnard-Sense


Date : 04 juin 2026 à 11:15 — 15 min.

ETW (Event Tracing for Windows) est une infrastructure de télémétrie puissante mais souvent méconnue des équipes Blue Team et Red Team.

Bien qu'historiquement concue et utilisée pour le diagnostic, le debug système et l'analyse de performance, cette dernière est de plus en plus utilisée au sein des EDR et solutions de sécurité pour sa capacité à apporter une dimension d'analyse comportementale autrefois absente des antivirus plus classiques.

Des outils intégrés, tels que Logman, Tracelog et Tracerpt ont ainsi été progressivement intégré au système d'exploitation pour manipuler ces informations, et d'autres outils ont vu le jour de par la communauté sécurité pour explorer les possibilités liées à certains providers, comme KrabsETW ou SilkETW.

Ces outils sont toutefois orientés "consommation" de traces et visualisation en temps réel sur le terminal et ne capitalisent pas sur le format natif de stockage des journaux d'événements au format .etl. Par ailleurs, il est souvent nécessaire de déjà connaître les providers intéressants à étudier, ce qui peut complexifier leur cout de prise en main. Enfin, ces outils ne sont aujourd'hui plus maintenus.

L'outil Metamorph tente donc de répondre aux limitations existantes pour simplifier la recherche sur les signaux ETW et fournir un peu plus de transparence sur les signaux réellements traités par les EDR avec :

  • La possibilité de stocker la télémétrie au format .etl pour laisser la possibilité d'être ingéré comme un event log classique,
  • La possibilité de générer des sessions pré-définies correspondant au même niveau de télémétrie que certains EDR en une seule commande.