Prise en main
Trace Eagle est un outil multiplateforme de capture et de déchiffrement de paquets. Il capture le trafic de votre ordinateur et de votre téléphone, déchiffre automatiquement le texte chiffré en texte clair, et vous permet de lire directement chaque requête et chaque réponse.
Ce guide vous accompagne pour capturer et comprendre votre première requête déchiffrée en seulement quelques minutes.
1. Installer et lancer
Section intitulée « 1. Installer et lancer »- Suivez la page Installation pour télécharger l’application de bureau adaptée à votre plateforme (macOS / Windows / Linux).
- Ouvrez l’application. Au premier lancement, elle peut demander des autorisations système (la capture bas niveau en a besoin) ; il suffit d’accepter.
- Aucune inscription, aucune connexion : ouvrez-la et tout fonctionne.
2. Le premier succès le plus rapide : capturer votre propre navigateur
Section intitulée « 2. Le premier succès le plus rapide : capturer votre propre navigateur »Vous voulez voir des résultats immédiatement ? Utilisez la capture par processus : l’outil lance le navigateur à votre place et ne capture que ce seul programme, en déchiffrant tout automatiquement, sans proxy à configurer et sans certificat à installer.
- Allez dans « Capture par processus » et choisissez votre navigateur (ou saisissez une commande de lancement).
- Cliquez sur Démarrer, et l’outil lance le navigateur.
- Dans le navigateur, ouvrez n’importe quel site web.
- Les requêtes apparaissent immédiatement dans la liste des requêtes ; cliquez sur l’une d’elles pour voir le texte clair déchiffré : la ligne de requête, les en-têtes, le corps, ainsi que la réponse.
3. Choisir la méthode de capture qui vous convient
Section intitulée « 3. Choisir la méthode de capture qui vous convient »Chaque cible appelle une méthode de capture différente. Choisissez-en une dans la liste ci-dessous :
| Ce que vous voulez capturer | Quelle méthode de capture |
|---|---|
| Un navigateur / programme local, et vous voulez aussi modifier et rejouer les paquets | Capture par proxy |
| Tout le trafic de la machine entière, y compris celui qui ne passe pas par le proxy, UDP / QUIC et DNS | Capture NIC |
| Un seul programme, avec déchiffrement automatique et sans certificat | Capture par processus |
| Une application utilisant l’épinglage de certificat ou un chiffrement personnalisé que vous ne pouvez pas déchiffrer | Texte clair au niveau applicatif |
| Les applications système intégrées et les applications récalcitrantes | Capture au niveau système |
| Le trafic d’un iPhone / iPad | Capture iOS |
| Le trafic d’un téléphone Android | Capture Android |
En cas de doute, commencez par la capture par proxy : c’est la plus générale, elle produit du texte clair et permet de modifier et de rejouer les paquets, et elle peut au passage capturer les téléphones et les appareils du réseau local.
4. Comprendre l’interface
Section intitulée « 4. Comprendre l’interface »- Liste des requêtes : chaque flux capturé apparaît ici dans l’ordre ; cliquez pour en déployer les détails.
- Déchiffrement automatique : lorsque la clé de session d’un flux est disponible, l’outil déchiffre automatiquement le texte chiffré en texte clair. Pour savoir d’où viennent les clés et jusqu’où va la prise en charge, voir Déchiffrement TLS.
- Brut et texte clair côte à côte : consultez à la fois la requête / réponse déchiffrée et les octets bruts sous-jacents.
- Attribution au processus : chaque flux est étiqueté avec le programme qui l’a émis, ce qui vous permet de le reconnaître d’un coup d’œil même lorsque tout est mélangé.
Pour savoir comment lire et décoder ce que vous avez capturé, voir Inspecter et décoder ; pour repérer les différences entre deux requêtes, voir Comparaison de requêtes.
5. Impossible de capturer / de déchiffrer ? Vérifiez d’abord ceci
Section intitulée « 5. Impossible de capturer / de déchiffrer ? Vérifiez d’abord ceci »| Symptôme | Cause la plus probable | Que faire |
|---|---|---|
| Pas une seule requête | La cible n’utilise pas le proxy système | Passez à la capture NIC ; à la couche NIC, tout est capturable |
| Capturé, mais tout est chiffré | Aucun certificat installé, ou l’application utilise l’épinglage de certificat | Installez le certificat (voir Gestion et installation du certificat), ou passez au texte clair au niveau applicatif |
| Certificat installé sur le téléphone mais capture toujours impossible | Les versions récentes d’Android ne font pas confiance aux certificats utilisateur | Voir la méthode sans installation de certificat dans Capture Android |
| Impossible de voir HTTP/3 / QUIC | Il fonctionne sur UDP, que les proxys ordinaires ne peuvent pas voir | Utilisez la capture NIC avec le déchiffrement H3 ; voir Déchiffrement TLS |
Pour d’autres questions, voir la FAQ.
6. Et ensuite
Section intitulée « 6. Et ensuite »Une fois que vous avez capturé, déchiffré et compris une requête, voici les fonctionnalités du quotidien les plus utilisées :
- Règles de réécriture et interception par points d’arrêt : modifiez requêtes et réponses sans toucher au code, ou interceptez une requête à la volée pour la retoucher à la main.
- Composition et rejeu de requêtes : modifiez n’importe quelle requête et renvoyez-la ; même les points d’accès avec signatures et horodatages peuvent réellement être rejoués.
- Rejeu de session et test de charge : rejouez une série de requêtes par lots, ou testez la charge d’un point d’accès unique sur place.
- Générer du code et exporter la documentation d’API : transformez une requête en code dans plusieurs langages, et reconstituez toute une session en un document OpenAPI.