Capture par processus
Vous voulez voir le trafic d’un seul programme, sans passer par tout le tracas de « modifier le proxy global, installer un certificat, tout restaurer après la capture » ? Donnez-lui une commande de lancement et l’outil démarre le programme à votre place, ne capture que celui-ci et affiche le texte clair dès le lancement, avec zéro interférence pour les autres logiciels du système. La façon la plus légère et la plus propre de capturer un seul programme.
1. En quoi cela diffère de la capture par proxy
Section intitulée « 1. En quoi cela diffère de la capture par proxy »Passer un seul programme par un proxy implique généralement de modifier le proxy système, d’installer un certificat pour lui, et de tout restaurer ensuite, avec le risque d’affecter d’autres logiciels si l’on n’y prend pas garde. La capture par processus fait l’impasse sur tout cela :
| Passer un seul programme par un proxy (approche traditionnelle) | Capture par processus | |
|---|---|---|
| Proxy à l’échelle du système | Doit être modifié, et restauré après | Intact |
| Installer un certificat | Doit en installer un, et le programme doit lui faire confiance | Pas nécessaire |
| Impact sur les autres logiciels | Possible (un proxy global déborde) | Zéro interférence (n’affecte que ce seul programme) |
| Voir le texte clair | Seulement si le programme fait confiance au certificat | Texte clair dès le lancement (déchiffrement automatique des programmes courants) |
| Nettoyage après la capture | Doit restaurer le proxy / retirer le certificat | Il suffit de l’arrêter, rien à restaurer |
En bref : la capture par proxy touche « la machine entière », la capture par processus ne touche que « ce seul programme ». Si vous voulez voir proprement ce qu’un unique programme envoie, c’est la manière la moins laborieuse.
2. Là où elle excelle
Section intitulée « 2. Là où elle excelle »- Ne capture que ce seul programme, sans intrusion : ne modifie pas le proxy système, n’installe pas de certificat et ne touche pas à la NIC ; seul le programme que vous lancez est capturé. Les autres logiciels du système ne sont absolument pas affectés, et il n’y a rien à nettoyer après la capture.
- Texte clair dès le lancement, large couverture : navigateurs, applications de bureau de type Electron, Node, Python, Java de bureau, et outils en ligne de commande utilisant des bibliothèques cryptographiques courantes affichent tous du texte clair dès qu’une commande les démarre, sans rien à configurer pour le programme et sans certificat à installer.
- Processus enfants suivis automatiquement : les processus enfants que le programme crée en interne sont capturés aussi, sans rien manquer.
- Prêt dès que vous l’êtes : pour déboguer un script ou vérifier une API, saisissez une commande et lancez la capture, bien plus vite que de configurer un proxy et d’installer un certificat.
3. Comment l’utiliser
Section intitulée « 3. Comment l’utiliser »Dans « Commande de lancement », saisissez la commande que vous voulez exécuter (par exemple python3 app.py), et l’outil la démarrera et ne capturera que son trafic. Trois exemples en un clic sont intégrés ; cliquez sur l’un d’eux pour le remplir automatiquement, puis modifiez-le au besoin :
- Exemple navigateur : lance une fenêtre de navigateur distincte et propre (laissant intact le navigateur que vous utilisez au quotidien) et la capture directement ; HTTP/3 (QUIC) a déjà été configuré pour retomber sur une connexion ordinaire, de sorte qu’il est facile à capturer et déchiffrable.
- Exemple Python : envoyez une requête en une commande et voyez le texte clair.
- Exemple ligne de commande : une requête HTTPS émise depuis la ligne de commande est capturée immédiatement.

Si un autre programme que vous capturez utilise aussi HTTP/3, activez « Bloquer HTTP/3 » au niveau de la session pour le faire retomber sur une connexion ordinaire, ce qui le rend de même facile à capturer et déchiffrable.
4. Voir le texte clair : ce qui fonctionne, et ce qui demande une autre approche
Section intitulée « 4. Voir le texte clair : ce qui fonctionne, et ce qui demande une autre approche »- Programmes courants : texte clair dès le lancement. Les navigateurs, applications Electron, Node, Python, Java de bureau, et outils en ligne de commande utilisant des bibliothèques cryptographiques courantes affichent directement du texte clair après le lancement, sans étape supplémentaire.

- Quelques programmes ne peuvent pas être déchiffrés (capturables, mais en texte chiffré uniquement) : certains programmes qui utilisent des bibliothèques cryptographiques particulières ne livrent pas de texte clair avec cette méthode. Le cas le plus typique est le
curlintégré à macOS (et les outils basés sur la même bibliothèque cryptographique système) ; certains programmes écrits purement en Go sont dans le même cas.Pour voir le texte clair d’un HTTPS envoyé depuis la ligne de commande, l’« exemple Python » est le plus fiable ; ou passez à un
curlbasé sur OpenSSL. - Programmes qui ignorent entièrement les paramètres de proxy : cette méthode ne peut pas capturer leur trafic.
Pour ces programmes « fortifiés » ou particuliers, passez à la Capture au niveau applicatif, qui lit le texte clair directement depuis l’intérieur du programme et peut gérer aussi bien l’épinglage de certificat, le chiffrement interne que les bibliothèques cryptographiques système.
5. Après la capture : la comprendre, la décoder
Section intitulée « 5. Après la capture : la comprendre, la décoder »Les données capturées passent par le même traitement que toute autre méthode de capture, et sont tout aussi faciles à comprendre et à décoder :
- Plusieurs manières de consulter : structuré, texte mis en forme, hexadécimal et détection automatique, commutables indépendamment pour chaque sens. Voir Inspecter et décoder pour les détails.
- Décompression et détection automatiques : décompresse automatiquement gzip / brotli / deflate / zstd (y compris plusieurs couches empilées), et détecte et met en forme automatiquement JSON, XML, formulaires, protobuf / gRPC, et plus.
- Codecs personnalisés : pour les protocoles propriétaires / internes, écrivez un court script pour lui apprendre à les lire. Voir Décodage de protocole personnalisé pour les détails.
6. Choisir parmi les quatre méthodes de capture locales
Section intitulée « 6. Choisir parmi les quatre méthodes de capture locales »| Votre situation | Laquelle utiliser |
|---|---|
| Un programme classique que vous pouvez démarrer par une commande (navigateur / script / CLI) | Capture par processus (cette page, la moins laborieuse) |
| Vouloir voir tout le trafic de la machine, le trafic non-HTTP, ou tout ce qu’un programme fait sur le réseau | Capture NIC |
| Un programme déjà en cours d’exécution / qui utilise l’épinglage de certificat / ignore le proxy / utilise un chiffrement interne / utilise une bibliothèque cryptographique système | Capture au niveau applicatif |
| Applications système intégrées de macOS / applications récalcitrantes | Capture au niveau système |
7. Cas d’usage typiques
Section intitulée « 7. Cas d’usage typiques »- Déboguer un script / vérifier une API : vous avez écrit un script Python / Node et voulez voir exactement ce qu’il envoie et reçoit ; saisissez une commande et voyez directement le texte clair.
- Surveiller un seul programme : sans modifier les paramètres système ni affecter les autres logiciels, voyez uniquement avec qui ce seul programme dialogue.
- Capturer une session de navigateur propre : utilisez l’exemple pour lancer une fenêtre de navigateur distincte, libérée du bruit de tous les plugins et onglets de votre navigateur quotidien.
Voir aussi : Capture par proxy · Capture au niveau applicatif · Inspecter et décoder