Aller au contenu

Capture au niveau applicatif

Certains programmes échappent à la fois au proxy et à la NIC : ils utilisent l’épinglage de certificat, ignorent entièrement le proxy, ou utilisent un chiffrement interne. La capture au niveau applicatif emprunte une autre voie : elle lit le texte clair directement depuis l’intérieur du programme. Elle n’installe aucun certificat, ne configure aucun proxy et ne capture aucune NIC ; ainsi, toutes ces « défenses » ne s’appliquent tout simplement pas, et vous voyez malgré tout ce qu’il envoie et reçoit réellement. C’est l’angle mort le plus typique des outils de capture ordinaires, et c’est l’atout maître de ce mode.


1. Ce dont les autres ne peuvent pas obtenir le texte clair, elle le peut

Section intitulée « 1. Ce dont les autres ne peuvent pas obtenir le texte clair, elle le peut »
La « défense » du programme cible Capture par proxy Capture NIC Capture au niveau applicatif
Épinglage de certificat ❌ Connexion impossible / erreurs 🔒 Texte chiffré uniquement ✅ Texte clair
Ignore le proxy système ❌ Capture impossible 🔒 Texte chiffré uniquement ✅ Texte clair
Chiffrement interne / non standard ❌ Déchiffrement impossible 🔒 Texte chiffré uniquement ✅ Texte clair

Le principe est simple : elle lit le texte clair directement depuis l’intérieur du programme, sans interception et sans toucher aux certificats ; ainsi, toutes ces défenses visant « l’intermédiaire » et « le certificat » ne s’appliquent tout simplement pas.

Résultat réel : sélectionnez un programme en cours d’exécution et lisez son texte clair envoyé/reçu directement depuis son intérieur, listé un par un par sens (Envoyé ↑ / Reçu ↓), avec la requête HTTP complète en texte clair dans les détails


Elle ne fait pas la fine bouche sur les bibliothèques cryptographiques ni les piles technologiques. Lire le texte clair depuis l’intérieur du programme couvre bien plus de programmes que le proxy ou la NIC ne le peuvent :

  • Que le programme utilise une bibliothèque cryptographique grand public ou obscure, le texte clair peut être lu de l’intérieur.
  • Qu’il s’agisse d’un programme natif ou d’une application écrite avec divers frameworks multiplateformes (clients de bureau, applications multiplateformes…), il peut être traité de la même manière.
  • Même les programmes qui communiquent en utilisant la cryptographie intégrée du système d’exploitation sont couverts, y compris .NET / PowerShell et d’autres programmes qui utilisent la pile réseau du système Windows. Ce sont souvent les angles morts avec lesquels les autres outils peinent le plus, et pourtant, ici, le texte clair est tout de même lu de l’intérieur.
  • En bref : navigateurs, clients de bureau, programmes natifs… bon nombre de cibles qui sont « en texte chiffré uniquement » ailleurs sont en texte clair ici même.

Pour les programmes les plus difficiles, il existe deux mesures supplémentaires :

  • « Trafic socket », un secours de plus bas niveau : pour les programmes qui sont allégés, dont les symboles ont été retirés, ou écrits avec une pile technologique plus récente (par exemple purement Go, Rust, ou utilisant la pile réseau du système Windows), lorsque l’approche ordinaire ne parvient pas à trouver leur point d’entrée de chiffrement/déchiffrement, activez cet interrupteur et elle emprunte une voie de plus bas niveau pour saisir les données et obtenir tout de même le texte clair, sans dépendre de la capacité à localiser le point d’entrée de chiffrement/déchiffrement du programme et sans dépendre de la NIC. Bien des programmes sur lesquels les autres outils sont complètement bloqués peuvent être traités ainsi.
  • Capturer « l’instant du démarrage » : une grande part de l’authentification et de la négociation se produit à l’instant précis où un programme démarre pour la première fois. Fermez-le d’abord et laissez l’outil le lancer, et ce trafic du tout début est capturé aussi, de sorte que vous ne manquez pas cette première requête cruciale.

Nouvelle session · Capture au niveau applicatif : choisissez un programme en cours d’exécution (ou saisissez un chemin de programme) et lisez le texte clair directement depuis son intérieur ; cochez « Redémarrer la cible » pour capturer le tout début, ou « Trafic socket » pour un secours de plus bas niveau


Le texte clair lu de l’intérieur passe par le même traitement que toute autre méthode de capture :

  • Plusieurs manières de consulter : structuré, texte mis en forme, hexadécimal et détection automatique, commutables indépendamment pour chaque sens. Voir Inspecter et décoder pour les détails.
  • Décompression et détection automatiques : décompresse automatiquement gzip / brotli / deflate / zstd (y compris plusieurs couches empilées), et détecte et met en forme automatiquement JSON, XML, formulaires, protobuf / gRPC, et plus.
  • Codecs personnalisés : pour les protocoles socket propriétaires / internes, écrivez un court script pour lui apprendre à les lire. Voir Décodage de protocole personnalisé pour les détails.

  • Idéale pour : les programmes à épinglage de certificat, qui ignorent le proxy, ou qui utilisent un chiffrement interne / non standard, là où ni le proxy ni la NIC ne peuvent obtenir de texte clair.
  • Fonctionne directement sur un programme en cours d’exécution : sélectionnez un programme en cours d’exécution et lisez son texte clair de l’intérieur, sur-le-champ, sans avoir à le redémarrer ni à modifier aucun de ses paramètres (vous pouvez aussi saisir un chemin de programme et laisser l’outil le démarrer à votre place).
  • Ne cible que le programme sélectionné : par défaut, elle ne s’étend pas automatiquement à tous les processus enfants du programme ; les programmes multi-processus / multi-fenêtres peuvent devoir être sélectionnés séparément.
  • Quand passer le relais à la capture au niveau système : les applications système intégrées de macOS, ainsi que les applications particulièrement récalcitrantes et profondément dissimulées, refusent toute intervention extérieure, et ce mode ne peut pas y pénétrer ; pour ces cibles, passez à la Capture au niveau système (qui n’entre pas dans le programme et observe depuis les couches basses du système).

6. Choisir parmi les quatre méthodes de capture locales

Section intitulée « 6. Choisir parmi les quatre méthodes de capture locales »
Votre situation Laquelle utiliser
Un programme déjà en cours d’exécution / qui utilise l’épinglage de certificat / ignore le proxy / utilise un chiffrement interne Capture au niveau applicatif (cette page)
Un programme classique que vous pouvez démarrer par une commande (navigateur / script / CLI) Capture par processus (moins laborieuse)
Vouloir voir tout le trafic de la machine, ou le trafic non-HTTP Capture NIC
Applications système intégrées de macOS / applications récalcitrantes Capture au niveau système

Voir aussi : Capture par proxy · Supprimer l’épinglage de certificat · Inspecter et décoder