Aller au contenu

Déchiffrement TLS

Le trafic HTTPS capturé est du texte chiffré par défaut. Trace Eagle apparie automatiquement les clés de session à leur trafic et déchiffre le texte chiffré en texte clair : les requêtes et réponses déchiffrées apparaissent juste à côté des octets bruts, sans qu’il faille exporter les clés séparément ni les apparier à la main.

  • Navigateurs, applications Electron et clients HTTP(S) courants : déchiffrement immédiat, capturés en texte clair.
  • TLS 1.2 et TLS 1.3, HTTP/1.1, HTTP/2, et HTTP/3 (QUIC) sont tous couverts.
  • Applications avec épinglage de certificat, ou dotées d’un chiffrement maison : les proxys ordinaires sont refoulés. Passez à la Capture de texte clair au niveau applicatif pour lire le texte clair directement depuis l’intérieur du programme, où l’épinglage n’est plus un obstacle.
  • Lorsque vous devez déchiffrer via un proxy : installez une fois un certificat de capture sur la cible, voir Gestion et installation des certificats. La plupart des méthodes de capture (capture directe sur carte réseau, ciblage d’un programme précis, capture de texte clair au niveau applicatif) ne nécessitent aucun certificat.

Ce qui ne peut pas être déchiffré pour l’instant

Section intitulée « Ce qui ne peut pas être déchiffré pour l’instant »

Quelques programmes n’offrent aucun moyen d’obtenir leurs clés. Pour ceux-là, la vue par paquet / brute peut tout de même montrer le trafic chiffré lui-même ; vous ne pouvez simplement pas encore voir le texte clair. L’application indique jusqu’où elle peut aller pour chaque programme précis, ce qui vous évite de deviner.

Quand le déchiffrement échoue, vérifiez d’abord ceci

Section intitulée « Quand le déchiffrement échoue, vérifiez d’abord ceci »
  1. Avez-vous commencé la capture assez tôt ? Les clés sont obtenues à l’établissement de la connexion, vous devez donc démarrer la capture avant que le trafic ne se produise ; une connexion déjà en cours au moment où vous avez lancé la capture peut ne pas être déchiffrable.
  2. Le certificat est-il installé (en cas de déchiffrement via un proxy) ? Confirmez que le certificat de capture est approuvé sur la cible, voir Gestion et installation des certificats.
  3. S’agit-il d’un épinglage de certificat ? Si l’erreur persiste et que le déchiffrement échoue même avec le certificat installé, l’épinglage en est la cause probable ; passez à la Capture de texte clair au niveau applicatif.
  4. Toujours rien ? Consultez la FAQ.