Cybersécurité17 min

Wireshark Tuto : Guide Complet de l'Analyse de Trafic Réseau 2025

Tuto Wireshark complet : découvrez comment utiliser Wireshark pour l'analyse du trafic réseau. Guide Wireshark avec wireshark conversation, capture de paquets et détection d'intrusions. Tutoriel pratique pour débutants et experts.

Wireshark est l'analyseur de protocoles réseau open-source le plus utilisé au monde. Cet outil incontournable permet de capturer et d'analyser le trafic réseau en temps réel, de diagnostiquer des problèmes réseau complexes et de détecter des activités malveillantes.


Dans ce guide complet, vous découvrirez comment installer, configurer et utiliser Wireshark pour analyser le trafic réseau, du niveau débutant jusqu'aux techniques avancées de détection d'intrusions et d'investigation forensique.


Qu'est-ce que Wireshark ?

Wireshark (anciennement Ethereal) est un analyseur de paquets réseau gratuit et open-source créé en 1998. Il permet de :

  • Capturer le trafic réseau en temps réel sur différentes interfaces (Ethernet, Wi-Fi, Bluetooth, USB).
  • Analyser des protocoles réseau : HTTP, HTTPS, DNS, FTP, SMTP, TCP, UDP, ICMP, et des centaines d'autres.
  • Filtrer et rechercher des paquets spécifiques dans des captures volumineuses.
  • Détecter des anomalies et des activités suspectes sur le réseau.
  • Investiguer des incidents de sécurité et réaliser des analyses forensiques.
  • Débugger des applications réseau et comprendre leur fonctionnement.

Wireshark est utilisé par les administrateurs réseau, les professionnels de la cybersécurité, les développeurs, et les pentesters du monde entier.


Pourquoi Wireshark est-il essentiel ?

  • Pour les administrateurs réseau : diagnostiquer des problèmes de latence, de perte de paquets, de congestion.
  • Pour les professionnels de la cybersécurité : détecter des intrusions, analyser des malwares, investiguer des incidents.
  • Pour les développeurs : débugger des applications client-serveur, analyser des API REST, comprendre les échanges réseau.
  • Pour les pentesters : identifier des failles de sécurité, capturer des credentials non chiffrés, analyser le trafic chiffré.
  • Pour la formation : comprendre le fonctionnement des protocoles réseau en profondeur.

Installation de Wireshark


Sur Windows

Téléchargez l'installateur depuis wireshark.org.

Lors de l'installation, assurez-vous d'installer Npcap (driver de capture de paquets pour Windows).


Sur macOS

brew install wireshark

Ou téléchargez le fichier .dmg depuis le site officiel.


Sur Linux (Debian/Ubuntu)

sudo apt update
sudo apt install wireshark

Ajoutez votre utilisateur au groupe wireshark pour capturer sans sudo :

sudo usermod -aG wireshark $USER

Déconnectez-vous puis reconnectez-vous pour que les changements prennent effet.


Sur Kali Linux

Wireshark est pré-installé sur Kali Linux.


Vérifier l'installation

wireshark --version

Ou lancez l'interface graphique :

wireshark

Interface de Wireshark : premiers pas

Au lancement de Wireshark, vous verrez trois zones principales :

  • Liste des interfaces réseau : sélectionnez l'interface à capturer (Ethernet, Wi-Fi, loopback).
  • Fenêtre de capture : affiche les paquets capturés en temps réel.
  • Détails des paquets : affiche le contenu détaillé d'un paquet sélectionné.

Capturer du trafic réseau


Lancer une capture

  1. Sélectionnez l'interface réseau (ex: eth0, wlan0).
  2. Cliquez sur le bouton bleu "aileron de requin" pour démarrer la capture.
  3. Le trafic commence à s'afficher en temps réel.
  4. Pour arrêter la capture, cliquez sur le carré rouge.

Capturer depuis la ligne de commande (tshark)

tshark est la version CLI de Wireshark.


Capturer 100 paquets sur eth0 :

sudo tshark -i eth0 -c 100

Sauvegarder dans un fichier .pcap :

sudo tshark -i eth0 -w capture.pcap

Lire un fichier .pcap :

tshark -r capture.pcap

Sauvegarder une capture

Fichier → Enregistrer sous → choisissez le format .pcap ou .pcapng.


Comprendre l'affichage des paquets

Wireshark affiche les paquets dans trois panneaux :


1. Liste des paquets (Packet List)

Chaque ligne représente un paquet capturé avec :

  • No. : numéro séquentiel du paquet.
  • Time : timestamp relatif ou absolu.
  • Source : adresse IP source.
  • Destination : adresse IP destination.
  • Protocol : protocole utilisé (TCP, UDP, HTTP, DNS, etc.).
  • Length : taille du paquet en octets.
  • Info : informations résumées sur le paquet.

2. Détails du paquet (Packet Details)

Affiche la structure hiérarchique du paquet, couche par couche :

  • Frame : informations sur la trame capturée.
  • Ethernet II : adresses MAC source et destination.
  • IPv4/IPv6 : adresses IP, TTL, protocole de transport.
  • TCP/UDP : ports source et destination, flags TCP, numéro de séquence.
  • Données applicatives : HTTP, DNS, TLS, etc.

3. Octets du paquet (Packet Bytes)

Affiche le contenu brut du paquet en hexadécimal et ASCII.


Filtres d'affichage essentiels

Les filtres Wireshark permettent de réduire le bruit et de se concentrer sur le trafic pertinent.


Filtres par protocole

http

Affiche uniquement les paquets HTTP.


dns

Affiche uniquement les requêtes et réponses DNS.


tcp

Affiche uniquement les paquets TCP.


tls || ssl

Affiche le trafic TLS/SSL (HTTPS).


Filtres par adresse IP

ip.addr == 192.168.1.10

Affiche tous les paquets impliquant cette IP (source OU destination).


ip.src == 192.168.1.10

Paquets envoyés DEPUIS cette IP.


ip.dst == 192.168.1.10

Paquets envoyés VERS cette IP.


Filtres par port

tcp.port == 80

Affiche le trafic HTTP (port 80).


tcp.port == 443

Affiche le trafic HTTPS (port 443).


udp.port == 53

Affiche le trafic DNS (port 53).


Combinaison de filtres

ip.addr == 192.168.1.10 && tcp.port == 80

Trafic HTTP impliquant l'IP 192.168.1.10.


http.request.method == "GET"

Requêtes HTTP GET uniquement.


!(arp || icmp)

Exclut les paquets ARP et ICMP.


Filtres avancés

tcp.flags.syn == 1 && tcp.flags.ack == 0

Affiche les paquets SYN (tentatives de connexion TCP).


http.request.uri contains "login"

Requêtes HTTP contenant "login" dans l'URL.


frame.len > 1000

Paquets de plus de 1000 octets.


Suivre un flux de communication (Follow Stream)

Pour reconstituer une conversation complète entre deux machines :

  1. Cliquez droit sur un paquet.
  2. Sélectionnez Follow → TCP Stream (ou UDP/HTTP).
  3. Wireshark affiche la conversation complète dans une nouvelle fenêtre.

Cela permet de voir :

  • Les requêtes et réponses HTTP complètes.
  • Les échanges FTP (credentials en clair !).< /li>
  • Les conversations Telnet non chiffrées.

Analyse de protocoles courants


HTTP : analyser des requêtes web

Filtre pour voir les requêtes HTTP GET :

http.request.method == "GET"

Extraire des credentials HTTP Basic Auth :

http.authbasic

Les credentials sont encodés en Base64 mais non chiffrés.


DNS : surveiller les requêtes

dns

Affiche toutes les requêtes DNS.


Trouver les requêtes vers un domaine spécifique :

dns.qry.name contains "google.com"

TLS/SSL : analyser le trafic chiffré

Wireshark peut déchiffrer le trafic HTTPS si vous avez :

  • La clé privée du serveur.
  • Les secrets de session TLS (SSLKEYLOGFILE).

Configurer le déchiffrement TLS :

  1. Édition → Préférences → Protocols → TLS.
  2. Ajoutez le fichier de clés dans "(Pre)-Master-Secret log filename".

FTP : capturer des identifiants en clair

ftp

Le protocole FTP transmet les identifiants en clair. Wireshark les affiche directement.


Détecter des activités suspectes


Scan de ports (NMAP)

Un scan SYN laisse des traces caractéristiques :

tcp.flags.syn == 1 && tcp.flags.ack == 0

Si vous voyez de nombreux paquets SYN vers différents ports depuis une même source, c'est probablement un scan de ports.


ARP Spoofing

Filtrer les requêtes ARP :

arp

Si une même adresse MAC répond pour plusieurs adresses IP différentes, c'est suspect (attaque ARP spoofing / Man-in-the-Middle).


Exfiltration de données

Trafic anormalement volumineux vers l'extérieur :

ip.src == 192.168.1.0/24 && frame.len > 1400

Analyse statistique : Statistiques → Conversations → trier par octets.


DNS Tunneling

Les attaquants peuvent exfiltrer des données via des requêtes DNS anormalement longues :

dns && frame.len > 100

Statistiques et analyses avancées


Conversations réseau

Statistiques → Conversations.

Affiche toutes les conversations entre paires d'adresses IP avec le volume de données échangées.


Graphiques de débit

Statistiques → I/O Graph.

Visualise le débit réseau au fil du temps, utile pour détecter des pics d'activité.


Endpoints

Statistiques → Endpoints.

Liste toutes les adresses IP actives sur le réseau avec leurs volumes de trafic.


Expert Info

Analyze → Expert Information.

Wireshark détecte automatiquement des anomalies : retransmissions TCP, paquets mal formés, warnings, erreurs.


Capture sur des réseaux Wi-Fi

Wireshark peut capturer le trafic Wi-Fi en mode monitor.


Activer le mode monitor (Linux)

sudo airmon-ng start wlan0

Cela crée une interface wlan0mon.


Lancez Wireshark sur wlan0mon et capturez les trames 802.11 (management, beacon, probe).


Déchiffrer le trafic WPA2

Si vous connaissez la clé Wi-Fi :

  1. Édition → Préférences → Protocols → IEEE 802.11.
  2. Activez "Enable decryption".
  3. Ajoutez la clé WPA : wpa-pwd:MotDePasse:SSID.

Bonnes pratiques et éthique


N'utilisez Wireshark que légalement

Capturer du trafic réseau sans autorisation est illégal dans de nombreux pays et peut être considéré comme une interception de communications privées.


Cas d'usage légitimes :

  • Analyser votre propre trafic réseau.
  • Diagnostiquer des problèmes réseau sur des infrastructures dont vous avez la responsabilité.
  • Réaliser des audits de sécurité autorisés avec contrat signé.
  • S'entraîner sur des captures .pcap publiques (Wireshark Sample Captures, Malware Traffic Analysis).
  • Environnements de formation contrôlés (CTF, HackTheBox, TryHackMe).

Cas illégaux :

  • Capturer le trafic d'un réseau Wi-Fi public sans autorisation.
  • Intercepter des communications d'autres utilisateurs sans leur consentement.
  • Utiliser Wireshark pour voler des identifiants ou des données sensibles.

Respecter la confidentialité

  • Ne partagez jamais de captures contenant des données sensibles.
  • Anonymisez les captures avant de les partager (Édition → Anonymize Packet Data).
  • Supprimez les informations personnelles des fichiers .pcap.

Ressources pour aller plus loin


Conclusion

Wireshark est un outil extraordinairement puissant pour comprendre, diagnostiquer et sécuriser les réseaux. Que vous soyez administrateur réseau, professionnel de la cybersécurité ou développeur, maîtriser Wireshark vous donnera une vision précise et détaillée de tout ce qui se passe sur vos réseaux.


De la capture basique de paquets à la détection d'intrusions sophistiquées, Wireshark est un compagnon indispensable pour toute personne travaillant avec les réseaux informatiques.


Pratiquez sur vos propres réseaux, analysez des captures publiques, et apprenez à lire le langage des paquets réseau. C'est une compétence qui vous servira tout au long de votre carrière.



⚠️ Avertissement et clause de non-responsabilité

Cet article est publié à des fins purement éducatives et informatives.


L'utilisation de Wireshark ou de tout autre outil de capture de paquets réseau sur des réseaux, infrastructures ou communications dont vous n'êtes pas propriétaire ou pour lesquels vous n'avez pas reçu d'autorisation écrite explicite est strictement interdite et constitue une infraction pénale dans de nombreux pays (France, Union Européenne, États-Unis, etc.).


L'interception de communications privées, la capture de données sensibles, et l'analyse de trafic réseau sans autorisation sont punies par la loi et peuvent entraîner des poursuites pénales sévères.


Je ne peux en aucun cas être tenu responsable de l'utilisation abusive, illégale ou malveillante des informations contenues dans cet article. Toute action que vous entreprenez avec les connaissances acquises ici relève de votre seule responsabilité juridique et pénale.


Utilisez Wireshark uniquement pour :

  • Analyser votre propre trafic réseau.
  • Diagnostiquer des problèmes réseau sur des infrastructures dont vous avez la responsabilité légale.
  • Réaliser des audits de sécurité dans le cadre de missions autorisées avec contrat écrit signé.
  • Vous former sur des captures publiques légales (Wireshark Sample Captures, Malware Traffic Analysis).
  • Pratiquer dans des environnements de test contrôlés : machines virtuelles personnelles, labs de formation, CTF.

En appliquant les techniques décrites dans cet article, vous acceptez d'agir de manière éthique, responsable et dans le strict respect des lois en vigueur. Toute utilisation pour intercepter des communications privées, voler des données ou nuire à autrui est de votre seule responsabilité et peut entraîner des poursuites judiciaires.


La protection de la vie privée et la sécurité des communications sont des droits fondamentaux. Respectez-les.

© 2025 CODAURA - Tous droits réservés

Mentions Légales

Dernière mise à jour : 1er novembre 2025

1. Informations légales

Conformément aux dispositions de la loi n° 2004-575 du 21 juin 2004 pour la confiance en l'économie numérique, il est précisé aux utilisateurs du site codaura.io l'identité des différents intervenants dans le cadre de sa réalisation et de son suivi.

Éditeur du site

Le site codaura.io est édité par :

GAUTHIER Alexandre - CODAURA
Entrepreneur individuel
SIREN : 993 393 651
SIRET : 993 393 651 00019

Adresse du siège social :
CODAURA
13 rue de Perreux
37530 Nazelles-Négron
France

Activité : Programmation informatique (APE 62.01Z)

Contact :
Email : alex@codaura.io
Téléphone : +33770800849

Directeur de la publication

Le directeur de la publication du site est Monsieur Alexandre GAUTHIER.

Hébergement

Le site codaura.io est hébergé par :
Infomaniak Network SA Rue Eugène Marziano 25 1227 Les Acacias (GE)

2. Conditions générales d'utilisation du site

L'utilisation du site codaura.io implique l'acceptation pleine et entière des conditions générales d'utilisation décrites ci-après. Ces conditions d'utilisation sont susceptibles d'être modifiées ou complétées à tout moment, les utilisateurs du site sont donc invités à les consulter de manière régulière.

Accès au site

Le site codaura.io est accessible gratuitement en tout lieu à tout utilisateur ayant un accès à Internet. Tous les frais supportés par l'utilisateur pour accéder au service (matériel informatique, logiciels, connexion Internet, etc.) sont à sa charge.

L'éditeur met en œuvre tous les moyens raisonnables à sa disposition pour assurer un accès de qualité au site, mais n'est tenu à aucune obligation d'y parvenir. L'éditeur ne peut être tenu responsable d'une défaillance du réseau Internet ou de tout dysfonctionnement du matériel de connexion.

3. Propriété intellectuelle

L'ensemble du contenu du site codaura.io (structure, textes, logos, images, vidéos, etc.) est la propriété exclusive de CODAURA, sauf mention contraire.

Toute reproduction, distribution, modification, adaptation, retransmission ou publication de ces différents éléments est strictement interdite sans l'accord exprès par écrit de CODAURA. Cette représentation ou reproduction, par quelque procédé que ce soit, constitue une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.

Le non-respect de cette interdiction constitue une contrefaçon pouvant engager la responsabilité civile et pénale du contrefacteur.

4. Protection des données personnelles

Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez d'un droit d'accès, de rectification, de suppression et d'opposition aux données personnelles vous concernant.

Responsable du traitement

Le responsable du traitement des données est :
GAUTHIER Alexandre - CODAURA
13 rue de Perreux
37530 Nazelles-Négron

Données collectées

  • Données de navigation : pages consultées
  • Données de contact (nom, prénom, email) via formulaires de contact

Finalité du traitement

Les données personnelles collectées sont utilisées pour :

  • Répondre aux demandes de contact
  • Améliorer l'expérience utilisateur
  • Assurer le bon fonctionnement du site

Durée de conservation

Les données personnelles sont conservées pour la durée strictement nécessaire aux finalités poursuivies, conformément à la réglementation en vigueur.

Vos droits

Vous pouvez exercer vos droits en nous contactant à l'adresse : alex@codaura.io

5. Limitation de responsabilité

L'éditeur s'efforce d'assurer l'exactitude et la mise à jour des informations diffusées sur le site, dont il se réserve le droit de corriger, à tout moment et sans préavis, le contenu. Toutefois, l'éditeur ne peut garantir l'exactitude, la précision ou l'exhaustivité des informations mises à disposition sur ce site.

L'éditeur décline toute responsabilité :

  • Pour toute imprécision, inexactitude ou omission portant sur des informations disponibles sur le site
  • Pour tous dommages résultant d'une intrusion frauduleuse d'un tiers ayant entraîné une modification des informations mises à disposition sur le site
  • Pour tous dommages directs ou indirects qui pourraient résulter de l'accès au site ou de l'utilisation du site et de ses informations
  • Pour l'indisponibilité temporaire ou totale du site

Liens hypertextes

Le site codaura.io peut contenir des liens vers d'autres sites internet. L'éditeur ne dispose d'aucun moyen de contrôle sur le contenu de ces sites et décline toute responsabilité quant au contenu ou aux pratiques de confidentialité de ces sites tiers.

6. Droit applicable et juridiction compétente

Les présentes mentions légales sont régies par le droit français. En cas de litige et à défaut d'accord amiable, le litige sera porté devant les tribunaux français conformément aux règles de compétence en vigueur.

7. Contact

Pour toute question concernant les présentes mentions légales, vous pouvez nous contacter :

Par email : alex@codaura.io

Par courrier :
CODAURA
13 rue de Perreux
37530 Nazelles-Négron
France