¶ Introduction à Wireshark
¶ Informations sur le TP
Objectif : Découvrir et analyser les paquets réseau circulant sur une machine, comprendre les bases du trafic réseau.
Durée estimée : 1h
Prérequis :
- Wireshark installé sur votre machine (si vous avez pas encore, on voit ça en dessous)
- Connexion réseau fonctionnelle
- Droits d’administration sur votre machine pour capturer le trafic
¶ C'est quoi Wireshark ?
¶ 🧠 Présentation simple de Wireshark
Wireshark est un logiciel gratuit et open-source qui permet d’observer ce qui circule sur un réseau informatique, un peu comme un scanner radio permettrait d’écouter les échanges entre des talkies-walkies.
Quand deux appareils (comme un ordinateur et un site web) communiquent entre eux, ils échangent des paquets de données. Ces paquets sont comme des lettres envoyées à la poste : ils ont un destinataire, un expéditeur, et contiennent un message. Wireshark permet de capturer ces paquets en temps réel et de les analyser en détail.
Il est utilisé par :
- les administrateurs réseau pour détecter des problèmes de connexion,
- les développeurs pour comprendre comment fonctionne une application réseau,
- les experts en cybersécurité pour détecter des comportements suspects ou malveillants.
L’interface de Wireshark affiche ces paquets ligne par ligne, un peu comme une boîte de réception d’e-mails, et permet de lire leur contenu technique, comme :
- les adresses utilisées (comme les adresses IP),
- les protocoles (comme HTTP pour le web ou DNS pour les noms de domaine),
- et parfois même le contenu des messages échangés (si ce n’est pas chiffré).
¶ 💡 En résumé
Wireshark est comme une loupe posée sur le réseau. Il ne modifie rien, il observe. C’est un outil très puissant pour comprendre ce qui se passe "sous le capot" quand on utilise Internet ou un réseau local.
¶ Le TP
¶ 🐬 Installation de Wireshark
¶ Mettre à jour votre système
Réflexe à toujours avoir ! Faîtes ça régulièrement, il est important de garder vos appareils jour (c'est dans la charte MiNET btw 
)
sudo apt update && sudo apt upgrade
¶ Installer wireshark
sudo apt install wireshark
Pendant l’installation, il peut vous poser la question suivante :
Should non-superusers be able to capture packets?
Répondez Yes si vous souhaitez que des utilisateurs non-root (comme vous) puissent lancer des captures (sinon, il faudra lancer Wireshark en sudo).
¶ Ajouter votre utilisateur au groupe wireshark
sudo usermod -aG wireshark $USER
Cette commande permet à votre utilisateur de capturer les paquets sans droits root.
¶ Redémarrer la session
Soit vous redémarrez votre machine, soit vous vous déconnectez / reconnectez, soit vous utilisez :
newgrp wireshark
¶ Lancer Wireshark
Il ne vous reste plus qu'à lancer Wireshark, soit par interface graphique, soit en tapant dans le terminal :
wireshark
Si vous n'avez pas fait la manipulation pour autoriser les utilisateurs non root à capturer des paquets, mettez un sudo devant
¶ ☝️ Une première capture de paquets
Une fois Wireshark lancé, vous devriez avoir une interface de ce style :
Sélectionnez l’interface réseau utilisée, par exemple eth0 ou wlan0 (dans mon cas, c'est wlo1 et j'ai pas d'interface ethernet. Ça va dépendre des ordinateurs). Démarrez ensuite la capture de paquets (l'aileron de requin en haut à gauche).
Bon en vrai, il se passe pas grand chose d'intéressant ici. On va voir des cas spécifiques.
¶ 👀 Observer un ping
Ouvrez un terminal et exécutez la commande suivante :
ping 8.8.8.8
Lancez une capture wireshark, laissez tourner quelques secondes, puis arrêtez la capture.
Maintenant, on va analyser. La première question à se poser, c'est : "C'est quel protocole un ping ?" Vous avez 3s pour répondre
1...
2...
3...
ICMP !
Bon bah maintenant faut filtrer tous le bazar d'une capture Wireshark pour garder que les paquets qui nous intéressent. Juste en dessous du bouton de capture, vous avez une barre de recherche. Elle vous permet de définir des filtres. Tapez icmp dedans (minuscule attention). Magie, vous ne voyez plus que vos paquets de ping !
Bon, qu'est ce que vous pouvez dire dessus ? Je vous écoute.
...
...
...
Effectivement, il y a plein de choses à dire !
- Vous avez une colonne source et une colonne destination. Elles vous donnent l'IP de la personne qui émet le paquet et celle de la personne qui la reçoit. Dans notre cas, on voit une alternance entre 2 IPs. La 8.8.8.8 qui est celle à qui vous avez envoyé un ping, et une autre, probablement sous la forme 192.168.x.x. Vous l'aurez compris, c'est vous !
- Vous avez une colonne Protocol. Ici vous avez que du ICMP car on a filtr de la sorte, mais si vous retirez le filtre, vous verrez d'autres choses tels que du TCP/UDP, ARP, HTTP, ... Il s'agit des protocoles utilisés pour le transfert des paquets.
- Vous avez une colonne Length (longueur/taille en français) qui vous affiche 98. C'est le nombre d'octets de votre paquets !
- Sur la dernire colonne "Info", vous pouvez voir une alternance entre
Echo (ping) requestetEcho (ping) reply. La request vient toujours de vous et la reply de 8.8.8.8 !
Si vous n'avez jamais vu ce qu'est un ping auparavant, vous pouvez donc déduire de cette capture son fonctionnement ! Le ping sert donc à envoyer des paquets de petite taille vers une destination et vérifier que l'on reçoit bien une réponse de cette dernière. Cela vous permet de savoir si cette source est joignable.
¶ 💡 En résumé
Vous avez donc vu comment installer wireshark, comment effectuer des captures et comment les analyser depuis la fenêtre principale. Bravo pour votre premier pas dans l'analyse des paquets réseaux ! On se retrouve donc au TP suivant pour découvrir comment analyser le contenu d'une ligne dans Wireshark :
- TP Wireshark : analyse d'un paquet en construction...