Aller au contenu

Capture NIC

La capture par proxy vous montre « la partie du trafic qui passe par le proxy » ; la capture NIC vous montre tout ce qui traverse la carte réseau de cette machine : DNS, QUIC, jeux, IoT, toutes sortes de protocoles propriétaires. Tout ce qui traverse la NIC est là, sous vos yeux. Et elle va un grand pas plus loin que les outils de capture traditionnels : le HTTPS que vous capturez n’est plus un amas de texte chiffré, mais quelque chose que vous pouvez déchiffrer, attribuer à qui l’a émis, et décomposer pour le comprendre.


Les deux sont des façons de capturer complémentaires, chacune avec ses propres cas d’usage :

Capture par proxy Capture NIC
Comment vous vous branchez Router le trafic via un proxy + faire confiance à un certificat Capturer directement les paquets bruts sur la NIC, sans modifier aucun paramètre ni installer de certificat
Ce que vous pouvez voir Le trafic qui est passé par le proxy, principalement HTTP(S) Tout le trafic sur la NIC : DNS, QUIC, ICMP, ARP, n’importe quel TCP / UDP…
Texte clair par défaut ? Texte clair par défaut Texte chiffré par défaut ; « Déchiffrer ce programme » en un clic au besoin (voir ci-dessous)
Idéal pour Déboguer des API HTTP, réécrire / rejouer Consulter le trafic non-HTTP, voir tout ce qu’un programme fait sur le réseau, éviter toute modification au niveau système

En bref : la capture par proxy est « précise », la capture NIC est « complète ». Si vous voulez savoir exactement à quelles adresses une application se connecte discrètement et quels protocoles elle utilise, la capture NIC met tout à nu.


2. En quoi cela diffère des outils de capture NIC traditionnels

Section intitulée « 2. En quoi cela diffère des outils de capture NIC traditionnels »

Les outils de capture NIC traditionnels peuvent saisir les paquets, mais le HTTPS qu’ils capturent est un amas de texte chiffré, et ils n’ont aucune idée du programme qui l’a émis. La capture NIC part de « peut capturer » et ajoute « peut comprendre, peut tracer » :

  • Peut déchiffrer : ramenez le HTTPS d’un programme de texte chiffré à texte clair en un clic (voir la section 4), au lieu de ne pouvoir contempler que du texte chiffré.
  • Sait qui l’a émis : chaque flux est étiqueté avec son processus source, ce qui vous permet de le cibler d’un coup d’œil même dans un environnement bruyant.
  • Peut retracer le contexte de l’interlocuteur : cliquez sur une IP distante pour accéder directement à son profil d’hôte (attribution / géographie / certificat).
  • Peut le décomposer et le comprendre : les données capturées sont automatiquement décompressées, leur format détecté, et affichées de manière structurée, et les protocoles propriétaires peuvent être décodés avec un décodeur personnalisé (voir la section 6).
  • Peut aussi alimenter Wireshark : lorsque vous avez besoin d’une analyse professionnelle paquet par paquet, transmettez le trafic en direct vers Wireshark en un clic, où il s’ouvre en texte clair, même sur une autre machine.

  1. Choisir une NIC : toutes les NIC de la machine sont listées automatiquement, celle actuellement active étant sélectionnée par défaut.
  2. Définir un filtre avant de démarrer, si vous le souhaitez : pour ne capturer que le trafic qui vous intéresse, saisissez un filtre de capture. Des préréglages courants sont intégrés (TLS / HTTP / QUIC / DNS / TCP / UDP / ICMP / ARP / SSH, et plus), applicables en un clic.

    Le filtre de capture se définit avant de démarrer et ne peut pas être modifié une fois la capture en cours ; il détermine « ce qui est capturé » à la couche NIC. Pour affiner au sein des données déjà capturées, utilisez le « filtre d’affichage » dans la vue des paquets (voir la section 6).

Nouvelle session · Capture NIC : choisissez une NIC et lancez la capture, sans paramètre à modifier et sans certificat à installer ; le HTTPS capturé peut ensuite être déchiffré pour un programme en un clic avec « Déchiffrer ce programme »


4. Voir le texte clair : trois étapes qui transforment le texte chiffré en texte clair

Section intitulée « 4. Voir le texte clair : trois étapes qui transforment le texte chiffré en texte clair »

Le trafic capturé sur la NIC est chiffré par défaut (capturé tel quel, sans interception). Voir le texte clair se fait en trois niveaux, chacun venant en renfort du précédent :

  1. Déchiffrement automatique : les programmes courants tels que les navigateurs et les applications Electron sont généralement en texte clair dès qu’ils sont capturés, sans étape supplémentaire.
  2. « Déchiffrer ce programme » manuel : pour les programmes qui ne peuvent pas être déchiffrés automatiquement, cliquez sur « Déchiffrer ce programme », sélectionnez-le, et son trafic chiffré est déchiffré. Le déchiffrement de plusieurs programmes à la fois est pris en charge.
  3. Deux interrupteurs de renfort :
    • Redémarrer le programme : lancez la cible à partir de zéro pour que même son trafic chiffré du tout début soit déchiffré avec le reste.
    • Gérer les processus enfants en un clic : certains programmes envoient et reçoivent du trafic via des processus enfants ; cochez cette case pour gérer aussi les processus enfants, afin que rien ne manque.

Les programmes courants sont en texte clair dès qu’ils sont capturés, et pour les autres, un clic manuel sur « Déchiffrer ce programme » les déchiffre aussi. Transformer le texte chiffré en texte clair est généralement l’affaire d’une seule étape.


5. Deux vues : paquet par paquet, et par connexion

Section intitulée « 5. Deux vues : paquet par paquet, et par connexion »
  • Vue paquets : examinez chaque paquet un par un, comme avec un outil de capture professionnel. Sélectionnez une trame pour voir les infos de la trame, les octets bruts, et l’arbre de protocole déployé couche par couche. Le champ de recherche prend en charge les filtres d’affichage à la Wireshark (comme tcp.port==443, tls.handshake), avec validation syntaxique en direct à la saisie, pour cibler n’importe quoi au sein de l’ensemble des données capturées.

Vue paquets : de vrais paquets capturés sur la NIC, ciblés avec le filtre d’affichage dns ; sélectionnez une trame pour voir les infos de la trame et l’arbre de protocole déployé couche par couche

  • Vue connexions : réassemblez les paquets épars en connexions individuelles, et utilisez « Suivre le flux » pour voir l’envoi/la réception d’une connexion entière du début à la fin ; HTTP / DNS et autres peuvent aussi être consultés de manière structurée.

Vue connexions : paquets épars réassemblés en connexions individuelles, avec DNS / TLS / HTTP / TCP brut classés chacun par protocole, pour voir d’un coup d’œil avec qui cette machine dialogue

  • Actions par clic droit : faites un clic droit sur n’importe quelle trame pour ne voir que cette connexion / filtrer sur cette connexion (restreindre votre vue à celle-ci), marquer la trame, copier l’adresse source / de destination, ou, pour l’IP distante, accéder directement à voir le profil d’hôte / ping / scan de ports pour enchaîner sur la prochaine étape de votre investigation.
  • Les deux vues se relient l’une à l’autre (sauter d’une connexion vers ses paquets bruts, ou depuis un paquet suivre la connexion entière).
  • Statistiques : synthèses sur trois tableaux (hiérarchie des protocoles, conversations, points d’extrémité), éventuellement sur les seuls résultats du filtre courant, pour voir rapidement « qui utilise la bande passante, et avec qui il dialogue ».
  • Pause à tout moment : mettez en pause en cours de capture pour examiner ce que vous avez capturé jusque-là, vous orienter, puis continuer. Sur les longues sessions, vous n’avez pas à démarrer et arrêter sans cesse.

Une même donnée peut être consultée de plusieurs manières, et le moteur la décode automatiquement pour vous. Cette capacité est commune à toutes les méthodes de capture et s’applique ici aussi :

  • Plusieurs manières de consulter : structuré, texte mis en forme, hexadécimal et détection automatique, commutables indépendamment pour chaque sens. Voir Inspecter et décoder pour les détails.
  • Détection automatique de nombreux encodages : le contenu HTTP déchiffré est automatiquement décompressé pour gzip / brotli / deflate / zstd (y compris plusieurs couches empilées), et JSON, XML, formulaires, protobuf / gRPC et plist sont détectés et mis en forme automatiquement, avec un aperçu intégré des images / de l’audio / de la vidéo. Voir Inspecter et décoder pour les détails.
  • Codecs personnalisés : pour les protocoles propriétaires / internes, écrivez un court script pour lui apprendre à les lire, en découpant les trames, en retirant les en-têtes et en décompressant vers une structure lisible. Voir Décodage de protocole personnalisé pour les détails.

7. Gérer HTTP/3 : capturer et déchiffrer aussi le trafic QUIC

Section intitulée « 7. Gérer HTTP/3 : capturer et déchiffrer aussi le trafic QUIC »

De plus en plus d’applications passent à HTTP/3 (QUIC), et QUIC a toujours été difficile à capturer et à déchiffrer à la couche NIC, où beaucoup d’outils s’arrêtent tout simplement. La capture NIC fonctionne dans les deux sens : elle peut amener l’application cible à retomber en douceur de HTTP/3 vers une connexion ordinaire pour qu’elle redevienne capturable et déchiffrable (elle se rétablit automatiquement lorsque vous arrêtez la session, sans affecter l’usage normal de l’application par la suite), et lorsque les clés sont disponibles, elle peut aussi déchiffrer QUIC / HTTP/3 directement et afficher le texte clair.

Cela signifie que même pour les applications passées entièrement à HTTP/3, vous pouvez encore voir leurs échanges en texte clair, au lieu de contempler impuissant un amas de QUIC intouchable.


8. Passage de relais transparent vers Wireshark pour une analyse approfondie

Section intitulée « 8. Passage de relais transparent vers Wireshark pour une analyse approfondie »

Lorsque vous avez besoin d’une analyse professionnelle paquet par paquet au niveau de Wireshark, nul besoin d’exporter sans cesse d’un outil à l’autre : transmettez le trafic de cette session en direct vers Wireshark en un clic, où il s’ouvre en texte clair sans configuration supplémentaire. Les clés de déchiffrement sont injectées de façon incrémentale, en direct avec le trafic, de sorte que les clés arrivant tardivement sont ajoutées et qu’aucune trame n’est perdue.

Il peut même envoyer le trafic vers Wireshark sur une autre machine, cette machine se chargeant de la capture et du déchiffrement tandis que l’autre se concentre sur l’analyse, un choix naturel pour la collaboration à distance et le diagnostic conjoint.

  • Export vers un fichier également : exportez en un clic un .pcapng avec les clés de déchiffrement intégrées (ouvrez-le dans Wireshark et c’est du texte clair) ou un HAR standard, et remettez-le à un collègue pour qu’il l’ouvre directement, sans rien d’autre à configurer.

Vous profitez ainsi du meilleur des deux mondes : le « déchiffrement + attribution au processus + profil d’hôte en un clic » de cet outil, plus l’analyse approfondie paquet par paquet de Wireshark.


  • Consulter le trafic non-HTTP : DNS, QUIC, jeux, IoT, toutes sortes de protocoles propriétaires. Tout ce que le proxy ne peut pas attraper, la NIC le peut.
  • Comprendre tout ce qu’un programme fait sur le réseau : à quelles adresses il se connecte réellement, quels protocoles il utilise, et s’il a des connexions « discrètes ».
  • Ne pas vouloir modifier le proxy système ni installer de certificat : capturez directement, sans aucune intrusion.
  • Venir à bout des protocoles propriétaires : après avoir capturé le flux brut, utilisez un décodeur personnalisé pour le restituer en une structure lisible.
  • Passer le relais à Wireshark pour une analyse poussée : quand vous avez besoin d’une analyse professionnelle paquet par paquet, transmettez-le en direct, où il s’ouvre en texte clair sans configuration supplémentaire.

Retour à la Capture par proxy · Voir aussi : Inspecter et décoder · Décodage de protocole personnalisé · Détails de l’hôte