Capture par proxy
Le module de capture par proxy de Trace Eagle donne à voir les requêtes réseau de votre ordinateur, de votre téléphone et des autres appareils de votre réseau local de façon complète, claire et déchiffrée. Vous ne faites pas que regarder : vous pouvez les modifier, les intercepter, les rejouer, les comparer et remonter jusqu’à leur source.
La différence fondamentale avec « un énième outil de capture par proxy » est la suivante : les outils de proxy ordinaires n’ont qu’une seule voie, « configurer un proxy + déchiffrement par interception ». Dès qu’ils rencontrent un programme qui ignore le proxy, une application qui utilise l’épinglage de certificat, un programme Java / Python, un protocole binaire privé ou une application sensible aux caractéristiques du trafic, ils sont pour ainsi dire bloqués. Trace Eagle comble ces angles morts un par un : il capture même les programmes qui ignorent le proxy, déchiffre même les applications à épinglage de certificat, reconstitue même les formats privés, identifie qui a émis un flux même noyé dans le bruit du système, et préserve le trafic à l’identique pour les applications sensibles à ses caractéristiques, en les observant en haute fidélité sans perturber leur fonctionnement normal.

1. En quoi cela diffère des outils de capture par proxy ordinaires
Section intitulée « 1. En quoi cela diffère des outils de capture par proxy ordinaires »Pour une même capture par proxy, la différence n’est pas « pouvez-vous voir la requête », mais pouvez-vous continuer à travailler face à un cas difficile, et pouvez-vous voir plus en profondeur.
| Scénario | Outils de capture par proxy ordinaires | Trace Eagle |
|---|---|---|
| Le programme ignore le proxy système (nombreux clients, services en arrière-plan, trafic en connexion directe) | Ne peut pas capturer, le manque totalement | Proxy transparent : aucune configuration de l’application nécessaire ; il capture quand même les programmes qui ignorent le proxy, le trafic en connexion directe et le trafic relayé lorsque la machine sert de point d’accès/passerelle, et il peut cibler précisément par processus |
| L’application utilise l’épinglage de certificat | Erreurs / connexion impossible / abandon obligatoire | En un clic, supprime la validation de certificat de l’application cible pour qu’elle fasse confiance au certificat de capture et que le déchiffrement se poursuive ; les sites auxquels vous préférez ne pas toucher sont laissés passer précisément |
| Programmes Java, Python et similaires | Même avec le certificat système installé, c’est inutile, déchiffrement impossible | Couverture complète des certificats : ces programmes, que les proxys ordinaires ne peuvent pas déchiffrer, se déchiffrent ici aussi |
| Trafic HTTP/3 (QUIC) | Prise en charge faible, le plus souvent invisible | Choisissez au besoin parmi trois niveaux : capture par rétrogradation, transmission fidèle (haute fidélité) ou déchiffrement réel |
| Protocoles privés / binaires, enveloppes compressées et chiffrées | Un amas illisible | Décompression automatique, reconnaissance automatique de nombreux formats, plus un décodage personnalisé via des règles de tramage ou des scripts JS |
| Une multitude de processus mélangés, sans savoir lequel a émis le trafic | Uniquement IP / domaine, à vous de deviner | Chaque flux est étiqueté avec l’application / le processus source ; cliquez sur l’hôte pour consulter aussi son profil complet |
| Vouloir identifier l’interlocuteur et le client | Aucune | Cliquez sur un hôte pour son profil d’attribution / de certificat / géographique, et consultez l’empreinte client (JA3/JA4) de chaque connexion |
| Applications sensibles aux caractéristiques du trafic | Un proxy d’interception modifie les caractéristiques du trafic, si bien que ce que vous observez n’est plus le trafic réel, et cela risque de perturber la cible | Plusieurs modes haute fidélité : conservez le trafic tel quel sans en modifier les caractéristiques, de sorte que vous ne perturbez pas l’application cible et ne perdez pas de vue le lien réel que vous analysez |
| Méthode d’accès / travail en parallèle | Pour ainsi dire uniquement le proxy, session unique | Proxy + capture NIC directe + capture transparente + connexion directe mobile, plusieurs sessions en parallèle, plusieurs ports sans interférence |
En bref : les outils ordinaires font de la « capture par proxy », tandis que Trace Eagle fait de la « capture, du déchiffrement, de la compréhension et sait qui l’a envoyé à qui, quelle que soit la situation ».
2. Des méthodes d’accès flexibles (deux modes d’accès locaux)
Section intitulée « 2. Des méthodes d’accès flexibles (deux modes d’accès locaux) »La manière dont le trafic entre dans la capture dépend du scénario. Dans la barre d’outils de session, sous « Proxy local » → engrenage « Paramètres d’accès », vous pouvez choisir entre deux modes d’accès :
- Proxy traditionnel (utilise le proxy système, capture classique) : accès en un clic ; les navigateurs, la ligne de commande et la plupart des applications passent automatiquement par le proxy. Après l’arrêt, tout est restauré automatiquement, de sorte que l’accès Internet normal est garanti, et il existe aussi un mécanisme de récupération en cas de sortie anormale. Limite : si une application n’utilise pas le proxy système, elle ne peut pas être capturée.
- Proxy transparent (tout le trafic) : l’angle mort des outils ordinaires : aucune configuration de l’application nécessaire ; tout le trafic local (y compris le trafic en connexion directe et le trafic relayé lorsque la machine sert de point d’accès/passerelle) peut être capturé ; les applications qui n’utilisent pas le proxy système sont capturées tout de même ; vous pouvez cibler précisément par application/processus pour ne capturer que quelques programmes ; sur mobile, il suffit d’installer le certificat racine, sans avoir à configurer de proxy à la main.

Capturer les appareils du réseau local : pointez le proxy d’un téléphone/d’une tablette/d’un autre ordinateur vers cette machine pour le capturer, avec un guide d’installation du certificat en un clic (profil de configuration iOS/macOS, installation par lecture de QR code).
Chaîner un proxy en amont : la session de capture peut elle-même chaîner un autre proxy en amont par-dessus (reliant la capture de cette machine à un proxy d’entreprise, un serveur de rebond ou un autre proxy secondaire) ; le lien est transparent et n’affecte pas le déchiffrement.
3. Trois niveaux de traitement de HTTP/3 (QUIC)
Section intitulée « 3. Trois niveaux de traitement de HTTP/3 (QUIC) »De plus en plus d’applications adoptent HTTP/3, et les outils ordinaires y échouent souvent. Dans « Paramètres d’accès », vous pouvez choisir :
- Bloquer (capture par rétrogradation) : tente de rétrograder HTTP/3 vers HTTP/2 pour le rendre capturable (quelques applications ne le prennent pas en charge).
- Ignorer (transmission fidèle) : transmet tel quel sans déchiffrer, haute fidélité, ne perturbe pas les requêtes de données du programme.
- Déchiffrer (véritable interception H3) : capture et déchiffre réellement, avec affichage du texte clair comme pour du HTTPS ordinaire.
Le proxy traditionnel prend en charge « Bloquer / Ignorer » ; « Déchiffrer » doit être utilisé en mode proxy transparent.
4. Capacité de déchiffrement : bien plus que « juste installer un certificat »
Section intitulée « 4. Capacité de déchiffrement : bien plus que « juste installer un certificat » »Le déchiffrement des outils ordinaires se résume à « installer un certificat système + une interception par proxy », qui échoue à la moindre défense. Trace Eagle combine plusieurs approches :
- Déchiffrement HTTPS en un clic : un système de certificat intégré ; installez une fois pour un déchiffrement continu.
- Installation avec couverture complète des certificats : en un clic, couvrez le certificat système partout. Les programmes Java, Python et similaires, que les proxys ordinaires ne peuvent pas déchiffrer même avec le certificat système installé, se déchiffrent ici aussi.
- Supprimer l’épinglage de certificat (retirer l’épinglage) : pour les applications qui utilisent l’épinglage et rejetteraient normalement la connexion avec une erreur d’emblée, un clic supprime leur validation de certificat et le déchiffrement se poursuit.
- Liste blanche / liste d’autorisation / liste de blocage : la liste blanche ne déchiffre que les domaines spécifiés et transmet le reste directement ; la liste d’autorisation laisse passer tels quels les sites à validation stricte sans les déchiffrer, pour éviter les erreurs ; la liste de blocage rejette d’emblée les domaines que vous ne voulez pas laisser passer.

5. Sessions multiples / proxys multiples en parallèle
Section intitulée « 5. Sessions multiples / proxys multiples en parallèle »- Ouvrez plusieurs sessions de capture à la fois ; chacune est un onglet indépendant que l’on peut démarrer/arrêter/basculer séparément.
- Les sessions sont entièrement isolées : listes de flux, détails, état de sélection et configuration indépendants ; plusieurs sessions de proxy peuvent écouter chacune sur un port différent et fonctionner en même temps.
- Proxy, capture NIC directe, capture transparente et connexion directe mobile peuvent être exécutés à la fois et combinés selon le scénario sans se gêner mutuellement.
6. Prise en charge complète des protocoles
Section intitulée « 6. Prise en charge complète des protocoles »| Protocole | Capacité prise en charge |
|---|---|
| HTTP / HTTPS | Analyse complète requête-réponse, affichage en texte clair |
| HTTP/2 | Analyse native, expérience de consultation identique à HTTP/1.1 |
| HTTP/3 (QUIC) | Trois niveaux au choix : capture par rétrogradation / transmission fidèle / déchiffrement réel (voir ci-dessus) |
| WebSocket | Affichage image par image des messages envoyés et reçus (texte/binaire/ping/pong, avec le sens indiqué) |
| Server-Sent Events (SSE) | Flux d’événements affichés événement par événement |
| gRPC / protobuf | Résolution des structures de champs sans avoir besoin du .proto |
| TCP / UDP brut | Capture des données brutes même pour les protocoles personnalisés non-HTTP |
| SOCKS5 | Partage le même port pour l’accès ; CONNECT et UDP ASSOCIATE sont tous deux pris en charge, et le trafic SOCKS peut aussi être déchiffré / laissé passer |
7. Observation en haute fidélité : ne pas perturber la cible, ne pas modifier les caractéristiques du trafic
Section intitulée « 7. Observation en haute fidélité : ne pas perturber la cible, ne pas modifier les caractéristiques du trafic »Un proxy d’interception ordinaire modifie les caractéristiques des requêtes réseau, avec pour conséquence que ce que vous observez n’est plus le trafic réel de l’application, et cela peut affecter le comportement normal de l’application cible. Pour les applications sensibles aux caractéristiques du trafic (comme les services qui s’appuient sur des empreintes de données de requêtes réseau pour des contrôles de cohérence), cela perturbe à la fois la cible et fausse l’analyse.
Trace Eagle propose plusieurs niveaux de fidélité pour garder le processus de capture aussi « transparent » et aussi proche du lien réel que possible : observation fidèle (observer de la manière la plus proche d’un vrai client, en minimisant les modifications des caractéristiques du trafic), reconstruction d’empreinte (conserver une empreinte client cohérente même lorsque le trafic doit être réécrit) et profil client figé (rétablir les caractéristiques du trafic à celles d’un client standard : Chrome / Firefox / Safari sur ordinateur, Safari sur mobile, ou un profil aléatoire). Combiné à « H3 Ignorer (transmission fidèle) », même pour les applications sensibles aux caractéristiques du trafic, vous pouvez capturer et analyser fidèlement tout en ne perturbant pas leur fonctionnement normal.
8. Attribution au processus et filtrage précis
Section intitulée « 8. Attribution au processus et filtrage précis »- Voir d’un coup d’œil qui l’a émis : chaque flux est étiqueté avec l’application/le processus source, ce qui vous permet de cibler rapidement dans un environnement chargé, quelque chose que les outils ordinaires, qui n’affichent qu’IP/domaine, ne peuvent pas vous offrir.
- Ne capturer que ce qui vous intéresse : combinez avec le proxy transparent pour cibler précisément la capture par application/processus et écarter le bruit.

9. Des capacités complémentaires plus puissantes (chacune son propre article)
Section intitulée « 9. Des capacités complémentaires plus puissantes (chacune son propre article) »Une fois la capture faite, « comprendre, tracer, réécrire, rejouer, tester la charge » vont chacun en profondeur ; ils sont donc détaillés dans des articles séparés :
| Capacité | En une phrase | Détails |
|---|---|---|
| Inspecter et décoder | 5 modes de consultation + décompression/reconnaissance/mise en forme automatiques + aperçu média intégré + décodage par tramage/script des protocoles privés | Inspecter et décoder |
| Détails de l’hôte | Cliquez sur n’importe quel hôte pour son attribution (ASN/organisation/enregistrement) + carte géographique + DNS + vérification du certificat TLS + pile technologique web | Détails de l’hôte |
| Règles de réécriture et interception par points d’arrêt | Des règles simples modifient les requêtes en pointer-cliquer, sans script + les points d’arrêt les modifient une à une à la main + scripts/plugins en secours pour les scénarios complexes | Règles de réécriture et interception par points d’arrêt |
| Composition et rejeu de requêtes | Renvoi en un clic/modifier-et-rejouer + compositeur de requêtes + signature de valeurs dynamiques + collections/environnements + génération de code | Composition et rejeu de requêtes |
| Comparaison de requêtes (Diff) | Comparez deux requêtes/réponses côte à côte ligne par ligne, entre sessions et sources, pour voir d’un coup d’œil où elles diffèrent | Comparaison de requêtes |
| Rejeu de session et test de charge | Rejouez une série de requêtes dans l’ordre par lots ; clic droit sur l’une d’elles pour « tester la charge de cette requête », avec débit en temps réel et centiles de latence | Rejeu de session et test de charge |
Il y a aussi une capacité légère mais pratique :
- Empreinte de connexion (JA3 / JA4) : pour toute connexion HTTPS, consultez son empreinte TLS client (JA3 avec chaîne brute, JA4, copie en un clic). Elle ne change pas avec l’IP/UA et sert à identifier le type de client et à faciliter le traçage du trafic et l’analyse de sécurité.
10. Cas d’usage typiques
Section intitulée « 10. Cas d’usage typiques »- Débogage d’intégration d’API : simulez pour produire des données ; redirigez un point d’accès de production vers un environnement local/de test.
- Capture mobile : capturez les requêtes HTTPS d’une application mobile pour analyser les points d’accès et diagnostiquer.
- Venir à bout des cas difficiles : programmes qui ignorent le proxy, utilisent l’épinglage de certificat, ou sont écrits en Java / Python ; traitez-les avec le proxy transparent + la suppression de l’épinglage + la couverture complète des certificats.
- Analyse de protocole privé : résolvez la structure des protocoles binaires/personnalisés avec des règles de tramage ou des scripts.
- Diagnostic de pannes : voyez clairement ce que la requête a envoyé et ce que le serveur a renvoyé, pour cerner les problèmes de paramètres/de retour/d’origine croisée.
- Test en réseau dégradé / test de charge : utilisez des règles pour simuler un mauvais réseau ; utilisez le test de charge pour évaluer la capacité d’un point d’accès.
- Audit de sécurité / inventaire d’actifs : passez en revue les communications sortantes, vérifiez les fuites d’informations sensibles, contrôlez les certificats, et utilisez les profils d’hôte pour déterminer l’attribution de l’interlocuteur.
- Analyse en haute fidélité : pour les applications sensibles aux caractéristiques du trafic, capturez et analysez fidèlement tout en conservant le trafic tel quel et sans perturber son comportement.
La capture par proxy fait partie des capacités de collecte de données de Trace Eagle. Outre la méthode par proxy, le produit prend aussi en charge la capture NIC directe, la connexion directe des appareils mobiles et d’autres méthodes de capture, qui peuvent être combinées avec souplesse selon le scénario.