Introduction
Les outils AV et EDR signalent régulièrement les agents RMM comme des applications potentiellement indésirables (PUA). Il s'agit d'un comportement attendu — un RMM dispose de privilèges système importants, et les éditeurs de sécurité ont raison de traiter les outils d'accès à distance inconnus avec méfiance. Puisque vous avez déployé Level intentionnellement, la solution consiste à ajouter des exclusions afin que votre infrastructure de sécurité lui permette de fonctionner.
Pourquoi cela se produit
Les EDR ont commencé à classer les RMM comme des programmes potentiellement indésirables (PUP) par défaut. C'est une posture de sécurité raisonnable — les RMM fournissent un accès système approfondi, notamment le contrôle à distance, la gestion en arrière-plan, l'exécution arbitraire de scripts, et bien plus encore. Tout RMM non autorisé fonctionnant sur votre réseau doit être signalé immédiatement.
Position de Level : les EDR doivent bloquer les RMM non approuvés. Si vous avez choisi d'utiliser Level, créer une exception dans votre logiciel de sécurité est la réponse appropriée.
Pour une discussion plus approfondie sur ce sujet, voir : Les EDR se méfient des RMM, et c'est normal
Comment les AV/EDR interfèrent concrètement avec Level
Il est important de bien comprendre cela, car les interférences des AV/EDR ne sont pas toujours évidentes. La plupart des personnes s'attendent à un événement de mise en quarantaine ou à une alerte — mais la détection basée sur le comportement n'en génère souvent aucun des deux.
La détection basée sur le comportement n'est pas basée sur les signatures. Les produits AV/EDR ne se contentent pas d'analyser les fichiers ; ils surveillent ce que font les processus au moment de l'exécution. Si le comportement de l'agent à un instant précis déclenche une heuristique — un schéma d'appel réseau, une requête WMI, un processus enfant lancé — le logiciel de sécurité peut bloquer ou interrompre cette action sans mettre quoi que ce soit en quarantaine. Aucune alerte, aucune entrée dans les journaux, aucune suppression de binaire.
C'est pourquoi vous pouvez avoir 50 appareils exécutant le même AV/EDR et seulement 2 affichant Level comme hors ligne. Ce n'est pas un comportement incohérent de la part de votre logiciel de sécurité — c'est que la détection s'est déclenchée sur ces 2 appareils en fonction de ce que l'agent faisait à ce moment-là.
Les AV/EDR peuvent affecter Level de manières qui vont au-delà de la simple suppression du binaire :
Interrompre le processus de l'agent (l'appareil passe hors ligne)
Bloquer des connexions sortantes spécifiques (les vérifications de connectivité échouent, la connexion websocket se coupe)
Interférer avec les appels WMI (les automatisations expirent ou échouent en cours d'exécution)
Limiter ou suspendre le processus (l'appareil semble en ligne mais les sessions à distance ne parviennent pas à se connecter)
Empêcher l'agent de lancer des processus enfants (les scripts ne s'exécutent pas)
Si quelque chose se comporte de manière anormale dans Level — pas seulement des appareils hors ligne, mais des échecs d'automatisation intermittents, des scripts qui se bloquent, des sessions à distance qui ne s'établissent pas — les interférences des AV/EDR en sont probablement la cause, même si votre logiciel de sécurité n'indique rien.
Chemins d'exclusion
Ajoutez ces chemins à la liste d'exclusions ou de confiance de votre logiciel de sécurité :
🖥️ NOTE SUR LA PLATEFORME :
Windows :
C:\Program Files\Level\level.exe
C:\Program Files\Level\level.update
C:\Program Files\Level\winpty-agent.exe
C:\Program Files\Level\.level.exe.new
C:\Program Files\Level\.level.exe.old
macOS :
/Applications/Level.app/Contents/MacOS/level
Linux :
/usr/local/bin/level
💡 CONSEIL : Utilisez des exclusions basées sur le chemin pour les exécutables spécifiques, et non pour l'ensemble du Level dossier. Exclure le dossier couvrirait également tout ce qu'un attaquant pourrait y déposer.
Exclusions basées sur le certificat
Les exclusions basées sur le certificat sont plus robustes que celles basées sur le chemin. Level publie des mises à jour d'agent hebdomadaires — les exclusions basées sur le hachage se cassent à chaque version, et les exclusions basées sur le chemin ne vérifient pas l'authenticité du binaire. Les exclusions par certificat survivent automatiquement aux mises à jour et n'autorisent que les binaires Level correctement signés à s'exécuter.
ℹ️ REMARQUE : Tous les produits AV/EDR ne prennent pas entièrement en charge les exclusions basées sur le certificat. SentinelOne, par exemple, ne les respecte pas pour les exclusions d'interopérabilité. Si vous n'êtes pas certain que votre produit respecte les règles basées sur le certificat, utilisez plutôt des exclusions basées sur le chemin — elles sont largement prises en charge et efficaces.
Informations sur l'éditeur :
Champ | Valeur |
Éditeur | Level Software, Inc. |
Émetteur | DigiCert, Inc. |
Numéro de série |
|
SHA-1 |
|
SHA-256 |
|
Pour vérifier le certificat sur le binaire installé (Windows) :
Accédez à
C:\Program Files\Level.Faites un clic droit sur
level.exeet sélectionnez Propriétés.Cliquez sur l'onglet Signatures numériques onglet.
Sélectionnez «Level Software, Inc.» et cliquez sur Détails → Afficher le certificat.
Confirmez que l'empreinte correspond à la valeur SHA-256 indiquée ci-dessus.
ℹ️ REMARQUE : Vérifiez toujours les détails du certificat par rapport aux valeurs extraites directement de votre binaire installé. Les détails peuvent varier légèrement d'une version à l'autre.
Exclusions Windows Defender
Si vous utilisez Windows Defender, utilisez l'automatisation ou le script ci-dessous pour diffuser les exclusions sur vos appareils. Les deux peuvent être importés directement dans Level.
Importer l'automatisation (recommandé pour plusieurs appareils) : https://app.level.io/import/automation/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xNzM
Importer le script (pour les appareils individuels) : https://app.level.io/import/script/Z2lkOi8vbGV2ZWwvQWxsb3dlZEltcG9ydC8xOTU
Script PowerShell - Exclusion Windows Defender (manuel) :
<#
This resource is provided as a convenience for Level users. We cannot
guarantee it will work in all environments. Please test before deploying
to your production environment. We welcome contributions to our community
library
Level Library
https://level.io/library
#>
# Define paths to exclude
$paths = @(
"C:\Program Files\Level\level.exe",
"C:\Program Files\Level\level.update",
"C:\Program Files\Level\winpty-agent.exe",
"C:\Program Files\Level\.level.exe.new",
"C:\Program Files\Level\.level.exe.old"
)
# Add temporary file paths
$tempInstallPath = Join-Path ([System.IO.Path]::GetTempPath()) "install_level.exe"
$tempWindowsAmd64Path = Join-Path ([System.IO.Path]::GetTempPath()) "level-windows-amd64.exe"
$paths += $tempInstallPath
$paths += $tempWindowsAmd64Path
# Add path exclusions
foreach ($path in $paths) {
Add-MpPreference -ExclusionPath $path -ErrorAction SilentlyContinue
}
# Add process name exclusion
Add-MpPreference -ExclusionProcess "level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level.msi" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "install_level.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionProcess "level-windows-amd64.exe" -ErrorAction SilentlyContinue
# Display confirmation
Write-Output "Current Exclusion Paths:"
(Get-MpPreference).ExclusionPath
Write-Output "`nCurrent Exclusion Processes:"
(Get-MpPreference).ExclusionProcess
⚠️ AVERTISSEMENT : Si un appareil est déjà hors ligne parce que l'agent a été mis en quarantaine ou supprimé, vous ne pouvez pas diffuser ce script via Level. Vous devrez disposer d'un accès local ou hors bande pour ajouter les exclusions en premier. Voir Si les appareils sont déjà hors ligne ci-dessous.
Si les appareils sont déjà hors ligne
Lorsqu'un AV/EDR bloque Level sans générer d'alerte, l'appareil disparaît sans indication évidente. Signes que c'est la cause :
L'appareil est en ligne et accessible par d'autres outils, mais hors ligne dans Level
Seuls certains appareils sont affectés, même si le même AV/EDR est déployé partout (c'est normal — la détection basée sur le comportement est incohérente par nature)
Les automatisations échouent ou expirent sur des appareils qui semblent par ailleurs en bonne santé
Le
level.exele binaire est manquant dansC:\Program Files\Level\— Level n'a aucun mécanisme pour supprimer son propre binaire, donc son absence signifie que l'AV/EDR l'a supprimé ou mis en quarantaine
Pour résoudre le problème : obtenez un accès hors bande à l'appareil, ajoutez les exclusions à l'aide de la console de gestion de votre logiciel de sécurité ou du script PowerShell ci-dessus, puis vérifiez que le binaire est présent. S'il a été supprimé, réinstallez l'agent après avoir ajouté les exclusions.
⚠️ AVERTISSEMENT : Ne réinstallez pas l'agent avant d'avoir ajouté les exclusions. L'AV/EDR supprimera à nouveau le binaire immédiatement.
FAQ
J'ai ajouté des exclusions mais l'appareil est toujours hors ligne. Que faire maintenant ? Les exclusions empêchent les interférences futures mais n'annulent pas ce qui s'est déjà produit. Vérifiez si le
level.exele binaire est toujours présent dansC:\Program Files\Level\— s'il a été supprimé par l'AV/EDR, vous devrez réinstaller l'agent. Exécutez--checkaprès la réinstallation pour confirmer que la connectivité est rétablie. Voir Dépannage hors ligne.Tous mes appareils ont le même AV/EDR. Pourquoi Level est-il hors ligne uniquement sur quelques-uns d'entre eux ? Détection basée sur le comportement. Votre logiciel de sécurité ne compare pas Level à une signature connue comme malveillante — il surveille ce que font les processus au moment de l'exécution et bloque en fonction des schémas de comportement. Le déclenchement d'une détection dépend de ce que l'agent faisait au moment où l'heuristique s'est exécutée. Il est courant de ne voir que 1 à 3 appareils affectés dans une flotte bien plus grande avec une configuration AV/EDR identique.
Mon EDR n'affiche aucune détection ni aucun événement de quarantaine, mais Level se comporte de manière anormale. Cela est cohérent avec des interférences basées sur le comportement. Certains produits bloquent ou limitent des opérations spécifiques sans générer d'événement de détection — aucune alerte, aucun journal de quarantaine, rien. Les AV/EDR peuvent interrompre les websockets, bloquer les appels réseau, provoquer des délais d'expiration WMI ou empêcher l'agent de lancer des processus enfants, sans toucher au binaire. Ajoutez des exclusions et surveillez si les problèmes se résolvent.
Dois-je utiliser des exclusions basées sur le chemin ou basées sur le certificat ? L'exclusion basée sur le certificat est théoriquement plus sécurisée et plus facile à maintenir, mais tous les produits ne la respectent pas pleinement. SentinelOne, par exemple, ne prend pas en charge les exclusions basées sur le certificat pour les exclusions d'interopérabilité — l'option existe mais n'aura pas l'effet escompté. Si vous n'êtes pas certain que votre AV/EDR respecte entièrement les exclusions basées sur le certificat, commencez par les exclusions basées sur le chemin. Ces dernières sont largement prises en charge par tous les produits et constituent la valeur par défaut la plus sûre. Évitez les exclusions basées sur le hachage — Level publie des mises à jour hebdomadaires et le hachage change à chaque version.
Qui dois-je contacter si mon fournisseur EDR continue de signaler Level ? Contactez le support Level. L'équipe travaille directement avec les éditeurs de sécurité sur les problèmes de classification.