Capture au niveau système
Certaines cibles n’autorisent même pas la lecture du texte clair de l’intérieur. Les applications intégrées de macOS, tout comme les applications particulièrement récalcitrantes et profondément dissimulées, bloquent toute forme d’interférence extérieure avant même qu’elle ne commence. La capture au niveau système ne s’exécute pas à l’intérieur du programme ; elle observe depuis les couches basses du système. Même ces cibles, que les outils ordinaires ne peuvent en rien approcher, voient leur texte clair mis à nu. C’est la dernière carte que gardent en main les méthodes de capture locale.
Cet article traite de macOS. Sous Windows, les programmes système qui passent par la pile réseau du système (.NET / PowerShell, etc.) disposent d’une capacité équivalente ; voir Capture au niveau applicatif sur cette machine.
1. Elle voit ce que « les autres outils ne peuvent atteindre »
Section intitulée « 1. Elle voit ce que « les autres outils ne peuvent atteindre » »Vous voulez voir ce que les applications intégrées de macOS, les services système ou ces applications récalcitrantes et profondément dissimulées échangent avec leurs serveurs ? En temps normal, vous vous heurtez à un mur à chaque tournant : la capture par proxy est écartée (elles refusent le certificat et renvoient simplement une erreur), la lecture du texte clair depuis l’intérieur du programme est bloquée par les protections du système, et ce que vous capturez sur la carte réseau n’est que du texte chiffré. La capture au niveau système est l’un des rares moyens de lire le texte clair de leurs échanges.
Les méthodes de capture locale vont chacune plus loin que la précédente, et celle-ci se tient tout au bout :
| Cible | Carte réseau / par processus | Capture au niveau applicatif | Capture au niveau système sur cette machine |
|---|---|---|---|
| Programmes ordinaires | ✅ | ✅ | ✅ (superflu) |
| Épinglage de certificat / chiffrement personnalisé | 🔒 texte chiffré | ✅ texte clair | ✅ texte clair |
| Applications récalcitrantes / très dissimulées | 🔒 / ❌ | ❌ refuse l’interférence | ✅ texte clair |
| Applications intégrées / services système | 🔒 / ❌ | ❌ refuse l’interférence | ✅ texte clair |
Lorsque aucune des méthodes précédentes ne parvient à traiter la cible, confiez-la à celle-ci.
2. Ce qui lui permet d’atteindre les applications système
Section intitulée « 2. Ce qui lui permet d’atteindre les applications système »- Ne s’exécute pas à l’intérieur du programme : les applications intégrées et les applications récalcitrantes bloquent toute forme d’interférence qui s’exécute à l’intérieur du programme, si bien que la capture au niveau applicatif ne fonctionne pas sur elles. La capture au niveau système adopte un angle différent : aucune injection, aucune modification du programme, aucun certificat. Elle lit hors bande au niveau des couches basses du système, de sorte que cette protection ne peut pas l’arrêter.
- Ne touche pas aux certificats : elle n’agit pas comme un intermédiaire (man-in-the-middle) et ne touche pas aux certificats, si bien que l’épinglage de certificat ne s’applique tout simplement pas. Aussi strictes que soient les vérifications de certificat de ces applications, elles ne peuvent pas l’affecter.
- Atteint la couche que les autres ne peuvent atteindre : les applications intégrées de macOS, l’App Store et divers services système passent par les canaux réseau de bas niveau du système, qui se trouvent être l’angle mort commun de toutes les méthodes de capture précédentes. La capture au niveau système couvre précisément cette couche, mettant tout leur texte clair pleinement en évidence.
3. Les cibles qu’elle peut traiter
Section intitulée « 3. Les cibles qu’elle peut traiter »- Applications intégrées et services système : les échanges réseau des propres programmes de macOS, comme l’App Store, les composants système et les services d’arrière-plan.
- Applications récalcitrantes et profondément dissimulées : des programmes tiers qui enfouissent leur trafic en profondeur et refusent toute forme d’interférence extérieure.
- Programmes ordinaires : elle peut bien sûr les traiter aussi, mais c’est superflu ; pour les programmes ordinaires, les méthodes précédentes sont plus simples.
4. Comment l’utiliser
Section intitulée « 4. Comment l’utiliser »- Choisissez la cible : sélectionnez un programme en cours d’exécution dans la liste déroulante, ou renseignez un chemin / nom de programme.
- Éventuellement, capturez « l’instant du lancement » : laissez l’outil fermer d’abord le programme puis le relancer, afin que le trafic des tout premiers instants du démarrage soit lui aussi capturé (beaucoup d’authentifications / de poignées de main se produisent à cet instant).
- Lancez la capture et consultez le texte clair que le programme envoie et reçoit.


5. Après la capture : lisible et décodable
Section intitulée « 5. Après la capture : lisible et décodable »Le texte clair lu depuis les couches basses passe par le même traitement que toutes les autres méthodes de capture :
- Plusieurs modes d’affichage : structuré, embellissement du texte, hexadécimal et détection automatique, commutables indépendamment pour le côté envoi et le côté réception. Voir Consultation et décodage des données.
- Décompression et détection automatiques : décompresse automatiquement gzip / brotli / deflate / zstd (y compris plusieurs couches empilées), et détecte et embellit automatiquement JSON, XML, protobuf / gRPC, et plus encore.
6. Comment choisir parmi les quatre méthodes de capture locale
Section intitulée « 6. Comment choisir parmi les quatre méthodes de capture locale »| Votre situation | Quoi utiliser |
|---|---|
| Applications intégrées de macOS, applications récalcitrantes (inaccessibles par d’autres méthodes) | Capture au niveau système sur cette machine (cet article) |
| Programme déjà en cours d’exécution / épinglage de certificat / n’accepte pas les proxys / chiffrement personnalisé | Capture au niveau applicatif sur cette machine |
| Programmes ordinaires que vous pouvez lancer en ligne de commande (navigateurs / scripts / CLI) | Capture par processus sur cette machine |
| Vous voulez voir tout le trafic de la machine, ou du trafic non-HTTP | Capture sur carte réseau sur cette machine |
Voir aussi : Capture par proxy · Capture au niveau applicatif sur cette machine · Consultation et décodage des données