Sa renommée, cependant, découle du fait que avec ce programme vous pouvez filtrer, capturer et espionner les paquets et les informations qui passent par un réseau d’ordinateurs.
Espionner les paquets, comme on le voit dans un guide général (Entrer dans un réseau wifi protégé pour capturer les paquets et espionner ce que vous faites sur Internet), vous permet de lire toutes sortes d’informations qui entrent dans la communication claire entre le PC et Internet.
Cela signifie que, si deux personnes sont dans le même bureau ou à la maison et se connectent au même réseau (ou au même routeur) pour aller sur Internet, alors les deux PC sont vus et à partir de l’un vous pouvez, en utilisant Wireshark, capturer les informations de l’autre, y compris les sites que vous visitez, mots de passe en clair (sur des sites non HTTP), emails, chats et autres.
Mais Wireshark est avant tout un programme d’analyse de réseau très puissant, également utilisé par les techniciens professionnels et nous allons voir comment l’utiliser sérieusement.
Vous pouvez télécharger Wireshark pour Windows ou Mac OS X depuis son site officiel.
Si vous utilisez Linux ou un autre système de type UNIX, Wireshark doit être dans le référentiel logiciel de la distribution.
Après avoir téléchargé et installé Wireshark, vous pouvez le démarrer et vous devez immédiatement sélectionner la bonne interface réseau pour analyser.
Par exemple, si vous voulez acquérir du trafic sur le réseau sans fil, cliquez sur la carte réseau wifi sinon, si le réseau utilisé est câblé, vous devez choisir la connexion LAN, etc.
Dès que vous sélectionnez une interface, vous verrez immédiatement que toute information passant sur le réseau est visible dans une liste déroulante.
Si vous activez le contrôle d’un réseau partagé par plusieurs ordinateurs (tel qu’un réseau wifi), et que vous avez activé l’acquisition de données en mode promiscuous, vous verrez aussi paquets des autres ordinateurs connectés au même réseau.
L’acquisition en mode promiscuous n’est possible à partir d’un PC Windows qu’en installant les pilotes WinPCap qui sont inclus dans le package d’installation de Wireshark.
Dans le coin supérieur gauche, vous pouvez arrêter le processus de capture en temps réel et arrêter l’acquisition de trafic.
Wireshark montre les données interceptées différemment colorées pour aider à identifier plus facilement les types de trafic.
Par défaut, le trafic TCP est vert, le trafic DNS est bleu foncé, le trafic UDP est bleu clair ; les paquets noirs sont des paquets TCP avec des problèmes.
Pour commencer et voir si cela fonctionne, vous devez vérifier que, lorsque vous surfez sur Internet en ouvrant quelques sites Web, les données et les informations sont capturées par Wireshark.
Les appels HTTP sont ceux liés au trafic Internet qui peuvent être les plus intéressants si vous voulez trouver des informations de navigation comme les sites que vous visitez.
Vous pouvez également télécharger un exemple de fichier à analyser dans Wireshark pour y trouver
Il est important de ne pas se perdre dans la mer de données générées est d’utiliser les règles de filtrage de paquets.
La façon la plus simple d’appliquer un filtre est de taper une clé de recherche dans la boîte de filtre en haut de la fenêtre et de cliquer sur Apply.
Par exemple, en tapant « http », vous n’afficherez que les connexions établies via votre navigateur sur Internet.
Chaque paquet peut être inspecté et il suffit de cliquer dessus avec le bouton droit de la souris pour voir plus de détails et le flux TCP ou l’historique des étapes effectuées (par exemple, si vous recherchez plus de choses avec Google, vous pouvez revoir le flux entier).
Dans le menu Analyser, vous pouvez appliquer des filtres plus spécifiques.
Pendant l’acquisition de paquets, il peut être inconfortable et difficile de comprendre le flux de données et d’informations reniflées sur le réseau car seules les adresses IP sont affichées.
Vous pouvez cependant convertir les adresses IP en noms de domaine (pour le trafic http, cela signifie voir les noms des sites Web) en activant la fonctionnalité à partir du menu Edition – Préférences – Résolution du nom et activer « Activer la résolution du nom du réseau ».
Lorsque cette option est activée, vous verrez les noms de domaine au lieu des adresses IP mais, comme Wireshark devra rechercher chaque nom de domaine, ils augmenteront les requêtes DNS en augmentant le flux de données.
Si vous souhaitez configurer une capture automatique de paquets sur votre ordinateur, vous pouvez créer un raccourci sur le bureau pour démarrer rapidement Wireshark.
Après avoir créé le lien, cliquez avec le bouton droit de la souris, entrez les propriétés et, là où « Destination » est écrit, ajoutez à la ligne, après les guillemets finaux, un espace et ensuite -i # -k .
au lieu de # vous devez mettre le numéro de la carte réseau à vérifier, selon l’ordre que Wireshark donne dans la phase de sélection.
La capture du trafic d’autres ordinateurs connectés au même réseau est peut-être son but le plus amusant qui nous fait devenir un peu’hacker dans notre petit chemin (mais pas si facile).
Si vous voulez enregistrer le trafic réseau et espionner les informations passant par un routeur, un serveur ou un autre ordinateur, vous devez utiliser la capture à distance de Wireshark qui, sous Windows, bénéficie du pilote WinPcap.
Après son installation, vous devez ouvrir la fenêtre Services Windows (cliquez sur Démarrer et écrivez dans le champ Rechercher ou Exécuter, la commande Services.msc).
Dans la liste des services, trouvez et activez ce qu’on appelle Remote Packet Capture Protocol.
Ce service est désactivé par défaut.
Cliquez sur Options Capture dans la fenêtre initiale de Wireshark et sélectionnez Remote dans la boîte Interface.
Entrez ensuite l’adresse du système distant (par ex. 192.168.2.3) et entrez 2002 comme port.
Pour fonctionner, vous devez avoir accès au port port 2002 sur le système distant et vous devrez donc ouvrir ce port sur le pare-feu ou le routeur de votre ordinateur.
Après la connexion, vous pouvez sélectionner une interface sur le système distant à partir de la boîte où les cartes réseau sont répertoriées et cliquer sur Démarrer pour commencer à enregistrer les connexions établies depuis cet ordinateur.
Dans cette vidéo, vous pouvez voir un tutoriel d’introduction très bien fait pour apprendre à utiliser Wireshark.
Wireshark est un outil extrêmement puissant, même si seuls les plus expérimentés peuvent le comprendre et l’utiliser pour effectuer tout type d’opération en réseau.
Ce tutoriel n’est qu’une introduction à tout ce que vous pouvez faire (voici le manuel complet en anglais) ; sachez simplement que les professionnels l’utilisent pour déboguer les installations de protocoles réseau, analyser les problèmes de sécurité et contrôler le trafic dans les entreprises.
Enfin, une dernière recommandation : de nombreuses organisations ne permettent pas à Wireshark ou à des outils similaires d’agir sur leurs réseaux (question de confidentialité), vous ne devriez donc pas risquer de l’utiliser au bureau sans votre permission.
Si vous voulez essayer des programmes plus simples, je vous recommande de télécharger l’outil Nirsoft pour sniffer le réseau de PCs et voir les sites visités, les recherches sur internet et mots de passe.