{"id":230,"date":"2026-06-18T16:23:18","date_gmt":"2026-06-18T16:23:18","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/18\/wireshark-analyse-reseau-tutoriel\/"},"modified":"2026-06-18T16:24:56","modified_gmt":"2026-06-18T16:24:56","slug":"wireshark-analyse-reseau-tutoriel","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/18\/wireshark-analyse-reseau-tutoriel\/","title":{"rendered":"Wireshark : analyser le trafic r\u00e9seau en 12 \u00e9tapes [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Wireshark est l&#8217;analyseur de protocoles r\u00e9seau le plus utilis\u00e9 au monde. Disponible gratuitement sous licence GNU GPLv2, il permet de capturer et d&#8217;inspecter chaque paquet qui circule sur un r\u00e9seau, en temps r\u00e9el ou depuis un fichier de capture enregistr\u00e9. Que vous soyez administrateur syst\u00e8me, ing\u00e9nieur s\u00e9curit\u00e9, \u00e9tudiant en cybers\u00e9curit\u00e9 ou d\u00e9veloppeur souhaitant d\u00e9boguer des communications r\u00e9seau, Wireshark est l&#8217;outil incontournable de 2026.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ce tutoriel complet couvre l&#8217;installation de la version 4.6.6 (publi\u00e9e le 19 mai 2026), la prise en main de l&#8217;interface, la ma\u00eetrise des filtres, l&#8217;analyse du trafic TLS, la d\u00e9tection d&#8217;anomalies, l&#8217;utilisation de TShark en ligne de commande, et l&#8217;automatisation via des scripts Lua. Vous trouverez 12 \u00e9tapes d\u00e9taill\u00e9es, 6 blocs de code fonctionnels, 3 tableaux de r\u00e9f\u00e9rence, 6 pi\u00e8ges courants et 8 solutions de d\u00e9pannage.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"quest-ce-que-wireshark-et-pourquoi-lutiliser-en-2026\">Qu&#8217;est-ce que Wireshark et pourquoi l&#8217;utiliser en 2026 ?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wireshark est n\u00e9 en 1998 sous le nom d&#8217;Ethereal, avant d&#8217;\u00eatre renomm\u00e9 en 2006. Aujourd&#8217;hui maintenu par la Wireshark Foundation, une organisation \u00e0 but non lucratif fond\u00e9e lors du passage \u00e0 la version 4.2.0, l&#8217;outil supporte plus de 3 000 protocoles r\u00e9seau, des plus courants (TCP, UDP, HTTP, DNS, TLS) aux plus sp\u00e9cialis\u00e9s (QUIC, gRPC-Web, SFTP, UASP).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En 2026, les cas d&#8217;usage de Wireshark couvrent quatre domaines principaux :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>D\u00e9bogage r\u00e9seau<\/strong> : identifier les latences, les retransmissions TCP, les timeouts DNS.<\/li>\n<li><strong>S\u00e9curit\u00e9 offensive et d\u00e9fensive<\/strong> : d\u00e9tecter les scans de ports, les attaques ARP spoofing, les exfiltrations de donn\u00e9es.<\/li>\n<li><strong>Forensique r\u00e9seau<\/strong> : analyser des captures PCAP post-incident pour reconstituer une attaque.<\/li>\n<li><strong>D\u00e9veloppement logiciel<\/strong> : v\u00e9rifier que vos APIs REST, WebSocket ou gRPC \u00e9mettent exactement les paquets attendus.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">La version 4.6.6 corrige une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 et un conflit DLL avec certaines versions de Windows 10. La branche 4.6, publi\u00e9e le 8 octobre 2025, est la derni\u00e8re \u00e0 supporter Windows 10, Red Hat EL 8 et Qt 5. Elle introduit une s\u00e9rie de raffinements de l&#8217;interface et de nouvelles fonctions de filtres d&#8217;affichage, notamment <code>max()<\/code>, <code>min()<\/code> et <code>abs()<\/code>, qui permettent d&#8217;appliquer des calculs arithm\u00e9tiques directement dans les filtres.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Version<\/th><th>Date de sortie<\/th><th>Nouveaut\u00e9s cl\u00e9s<\/th><th>Support<\/th><\/tr><\/thead><tbody><tr><td>4.6.6<\/td><td>19 mai 2026<\/td><td>Correctif CVE, fix DLL Windows 10<\/td><td>Actif<\/td><\/tr><tr><td>4.6.0<\/td><td>8 oct. 2025<\/td><td>Fin de Qt 5, derni\u00e8re version Windows 10<\/td><td>Actif<\/td><\/tr><tr><td>4.4.x<\/td><td>2024<\/td><td>Stabilit\u00e9, correctifs protocoles<\/td><td>Maintenance<\/td><\/tr><tr><td>4.2.0<\/td><td>2023<\/td><td>Mode sombre Windows, Arm64, Npcap 1.78<\/td><td>EOL<\/td><\/tr><tr><td>4.0.0<\/td><td>2022<\/td><td>+20 protocoles, QUIC natif, fonctions filtres<\/td><td>EOL (4.0.17)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"prerequis-avant-de-commencer\">Pr\u00e9requis avant de commencer<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Avant de d\u00e9marrer, v\u00e9rifiez les \u00e9l\u00e9ments suivants :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Syst\u00e8me d&#8217;exploitation<\/strong> : Windows 10\/11 (64 bits), macOS 12 ou sup\u00e9rieur, Linux (Debian 11+, Ubuntu 22.04+, Fedora 38+).<\/li>\n<li><strong>Wireshark 4.6.6<\/strong> : t\u00e9l\u00e9chargeable sur <a href=\"https:\/\/www.wireshark.org\/\" target=\"_blank\" rel=\"noopener\">wireshark.org<\/a>.<\/li>\n<li><strong>Droits administrateur<\/strong> : n\u00e9cessaires pour la capture sur interface r\u00e9seau. Sous Linux, vous pouvez configurer des droits de groupe pour \u00e9viter de lancer Wireshark en root.<\/li>\n<li><strong>Interface r\u00e9seau active<\/strong> : filaire (Ethernet), Wi-Fi, ou tunnel VPN.<\/li>\n<li><strong>Npcap 1.78<\/strong> (Windows uniquement) : inclus dans l&#8217;installateur Wireshark depuis la version 4.2.0. Remplace l&#8217;ancien WinPcap, d\u00e9sormais non maintenu.<\/li>\n<li><strong>Connaissances de base<\/strong> : notions de TCP\/IP, adresses IP, ports. Aucune exp\u00e9rience de Wireshark n&#8217;est requise.<\/li>\n<li><strong>Espace disque<\/strong> : minimum 500 Mo pour l&#8217;installation, pr\u00e9voyez 2 \u00e0 10 Go si vous comptez enregistrer des captures longues.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Sous Linux, Wireshark peut \u00eatre install\u00e9 depuis les d\u00e9p\u00f4ts officiels ou en compilant depuis les sources. L&#8217;ajout de l&#8217;utilisateur au groupe <code>wireshark<\/code> permet la capture sans privil\u00e8ges root, ce qui est la m\u00e9thode recommand\u00e9e en production.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"etape-1-telecharger-et-installer-wireshark-4-6-6\">\u00c9tape 1 : T\u00e9l\u00e9charger et installer Wireshark 4.6.6<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;installation varie selon le syst\u00e8me d&#8217;exploitation. Voici la proc\u00e9dure pour les trois plateformes principales.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Windows<\/strong> : T\u00e9l\u00e9chargez l&#8217;installateur <code>Wireshark-4.6.6-x64.exe<\/code> depuis le site officiel. L&#8217;installateur inclut automatiquement Npcap 1.78. Cochez l&#8217;option &#8220;Install USBPcap&#8221; uniquement si vous souhaitez capturer du trafic USB.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>macOS<\/strong> : Utilisez le paquet <code>.dmg<\/code> disponible sur wireshark.org, ou installez via Homebrew :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Installation via Homebrew sur macOS\nbrew install --cask wireshark\n\n# V\u00e9rifier la version install\u00e9e\nwireshark --version<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Linux (Ubuntu\/Debian)<\/strong> : Wireshark est disponible dans les d\u00e9p\u00f4ts officiels. La commande <code>usermod<\/code> configure les permissions de capture sans root :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Ajouter le d\u00e9p\u00f4t et installer Wireshark\nsudo add-apt-repository ppa:wireshark-dev\/stable\nsudo apt-get update\nsudo apt-get install wireshark tshark -y\n\n# Permettre la capture sans root (r\u00e9pondre \"Oui\" au prompt)\nsudo dpkg-reconfigure wireshark-common\n\n# Ajouter votre utilisateur au groupe wireshark\nsudo usermod -aG wireshark $USER\n\n# Appliquer les changements (red\u00e9marrer la session ou utiliser newgrp)\nnewgrp wireshark\n\n# V\u00e9rifier la version\nwireshark --version\n# Output attendu : Wireshark 4.6.6 (Git v4.6.6 packaged as ...)<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Sous <strong>Fedora\/RHEL<\/strong> : <code>sudo dnf install wireshark wireshark-cli<\/code>. Sous <strong>Arch Linux<\/strong> : <code>sudo pacman -S wireshark-qt<\/code>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Apr\u00e8s installation, lancez Wireshark depuis le menu applications ou en tapant <code>wireshark<\/code> dans un terminal. Si l&#8217;interface se lance mais que les interfaces r\u00e9seau n&#8217;apparaissent pas, v\u00e9rifiez que Npcap (Windows) ou libpcap (Linux\/macOS) est correctement install\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"etape-2-comprendre-linterface-wireshark\">\u00c9tape 2 : Comprendre l&#8217;interface Wireshark<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;interface de Wireshark se divise en trois zones principales, plus une barre de filtres et une barre de statut.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Le panneau de liste des paquets<\/strong> (en haut) affiche chaque paquet captur\u00e9 sur une ligne, avec les colonnes : num\u00e9ro, horodatage, adresse source, adresse destination, protocole, longueur, et informations. Chaque ligne est coloris\u00e9e selon le protocole : vert pour HTTP, bleu fonc\u00e9 pour DNS, rouge pour les erreurs TCP.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Le panneau de d\u00e9tail du paquet<\/strong> (au milieu) pr\u00e9sente une arborescence de protocoles pour le paquet s\u00e9lectionn\u00e9. Vous y voyez les couches r\u00e9seau empil\u00e9es : trame Ethernet, IP, TCP\/UDP, et le protocole applicatif. Cliquer sur une couche la d\u00e9veloppe pour r\u00e9v\u00e9ler chaque champ avec sa valeur d\u00e9cod\u00e9e.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Le panneau hexad\u00e9cimal<\/strong> (en bas) montre les octets bruts du paquet en hexad\u00e9cimal \u00e0 gauche et en ASCII \u00e0 droite. S\u00e9lectionner un champ dans le panneau de d\u00e9tail surligne les octets correspondants dans la vue hex, ce qui est essentiel pour comprendre le format r\u00e9el des paquets.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La <strong>barre de filtres d&#8217;affichage<\/strong> se trouve juste au-dessus du panneau de liste. Tapez-y un filtre pour restreindre l&#8217;affichage sans affecter la capture en cours. Le fond passe au vert si la syntaxe est valide, au rouge si elle est incorrecte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Les menus importants \u00e0 conna\u00eetre d\u00e8s le d\u00e9part :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Capture &gt; Options<\/strong> : s\u00e9lectionner les interfaces, d\u00e9finir les filtres de capture et la taille maximale des fichiers.<\/li>\n<li><strong>Analyse &gt; Suivre &gt; Flux TCP<\/strong> : reconstituer une session TCP compl\u00e8te en texte lisible.<\/li>\n<li><strong>Statistiques &gt; Conversations<\/strong> : voir toutes les paires source\/destination et les volumes \u00e9chang\u00e9s.<\/li>\n<li><strong>Statistiques &gt; Graphique IO<\/strong> : visualiser le d\u00e9bit r\u00e9seau dans le temps.<\/li>\n<li><strong>Analyse &gt; Informations expert<\/strong> : acc\u00e9der au syst\u00e8me de classification automatique des probl\u00e8mes r\u00e9seau.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Depuis la version 4.2.0, Wireshark supporte le mode sombre sur Windows via les param\u00e8tres syst\u00e8me. L&#8217;interface s&#8217;adapte automatiquement si Windows est configur\u00e9 en mode sombre. Sous Linux avec KDE ou GNOME en mode sombre, Wireshark suit \u00e9galement le th\u00e8me syst\u00e8me.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"etape-3-demarrer-votre-premiere-capture-reseau\">\u00c9tape 3 : D\u00e9marrer votre premi\u00e8re capture r\u00e9seau<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Depuis l&#8217;\u00e9cran d&#8217;accueil de Wireshark, la liste des interfaces r\u00e9seau disponibles s&#8217;affiche avec un graphique de d\u00e9bit en temps r\u00e9el. Cela vous permet d&#8217;identifier imm\u00e9diatement quelle interface est active.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Double-cliquez sur l&#8217;interface souhait\u00e9e (par exemple <code>eth0<\/code>, <code>en0<\/code> sur macOS, ou <code>Wi-Fi<\/code> sur Windows) pour d\u00e9marrer la capture imm\u00e9diatement avec les param\u00e8tres par d\u00e9faut. La capture d\u00e9marre en mode <strong>promiscuous<\/strong> par d\u00e9faut, ce qui permet de capturer les paquets destin\u00e9s \u00e0 d&#8217;autres machines sur le m\u00eame segment r\u00e9seau.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour une configuration avanc\u00e9e, passez par <strong>Capture &gt; Options<\/strong> (<code>Ctrl+K<\/code> sur Windows\/Linux, <code>Cmd+K<\/code> sur macOS). Les param\u00e8tres cl\u00e9s :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Filtre de capture BPF<\/strong> : appliquer d\u00e8s la capture pour ne r\u00e9cup\u00e9rer que le trafic pertinent (voir \u00e9tape 4).<\/li>\n<li><strong>Taille maximale du fichier<\/strong> : limiter \u00e0 100 Mo ou 500 Mo pour \u00e9viter des fichiers incontr\u00f4lables sur les liaisons haut d\u00e9bit.<\/li>\n<li><strong>Capture en anneau<\/strong> : cr\u00e9er plusieurs fichiers successifs (ex : 10 fichiers de 50 Mo) pour les captures longues.<\/li>\n<li><strong>Arr\u00eat automatique<\/strong> : stopper apr\u00e8s X paquets, X m\u00e9gaoctets ou X secondes.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Arr\u00eatez la capture avec le bouton rouge carr\u00e9 ou <code>Ctrl+E<\/code>. Sauvegardez au format PCAP (<code>Fichier &gt; Enregistrer sous<\/code>) ou au format PCAPNG, qui supporte les m\u00e9tadonn\u00e9es \u00e9tendues et les commentaires par paquet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"etape-4-maitriser-les-filtres-de-capture-bpf\">\u00c9tape 4 : Ma\u00eetriser les filtres de capture BPF<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Les <strong>filtres de capture<\/strong> s&#8217;appliquent avant que les paquets ne soient enregistr\u00e9s. Ils utilisent la syntaxe BPF (Berkeley Packet Filter), la m\u00eame que tcpdump. Leur avantage est la performance : les paquets non correspondants ne consomment ni CPU ni m\u00e9moire.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La syntaxe BPF repose sur des primitives combinables avec les op\u00e9rateurs logiques <code>and<\/code>, <code>or<\/code> et <code>not<\/code>. Voici les filtres BPF les plus utilis\u00e9s :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Capturer uniquement le trafic HTTP et HTTPS\nport 80 or port 443\n\n# Capturer le trafic depuis ou vers une IP pr\u00e9cise\nhost 192.168.1.50\n\n# Capturer le trafic entrant depuis un sous-r\u00e9seau\nsrc net 10.0.0.0\/24\n\n# Capturer le DNS uniquement\nport 53\n\n# Exclure le trafic ARP (r\u00e9duire le bruit)\nnot arp\n\n# Capturer SSH depuis une IP source sp\u00e9cifique\nsrc host 192.168.1.100 and port 22\n\n# Capturer les paquets de plus de 1400 octets (d\u00e9tecter gros transferts)\ngreater 1400\n\n# Combiner : trafic TCP vers le serveur web, hors trafic de monitoring\ntcp and dst host 203.0.113.10 and port 80 and not src host 10.0.0.1<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Un pi\u00e8ge classique avec les filtres BPF : ils sont appliqu\u00e9s au niveau du pilote r\u00e9seau avant d\u00e9codage des protocoles. Vous ne pouvez donc pas filtrer par <code>http.request.method == \"GET\"<\/code> dans un filtre de capture ; c&#8217;est r\u00e9serv\u00e9 aux filtres d&#8217;affichage.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"etape-5-exploiter-les-filtres-daffichage\">\u00c9tape 5 : Exploiter les filtres d&#8217;affichage<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Les <strong>filtres d&#8217;affichage<\/strong> s&#8217;appliquent apr\u00e8s la capture. Ils peuvent inspecter n&#8217;importe quel champ de n&#8217;importe quel protocole d\u00e9cod\u00e9 par Wireshark, y compris des champs applicatifs profonds. Leur syntaxe est propre \u00e0 Wireshark et bien plus expressive que BPF.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Depuis Wireshark 4.0.0, les fonctions <code>max()<\/code>, <code>min()<\/code> et <code>abs()<\/code> sont disponibles dans les filtres d&#8217;affichage. Ces fonctions acceptent des expressions et d&#8217;autres fonctions imbriqu\u00e9es, ouvrant des possibilit\u00e9s d&#8217;analyse avanc\u00e9e.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Cas d&#8217;usage<\/th><th>Filtre d&#8217;affichage Wireshark<\/th><th>\u00c9quivalent BPF (capture)<\/th><\/tr><\/thead><tbody><tr><td>Requ\u00eates HTTP GET<\/td><td><code>http.request.method == \"GET\"<\/code><\/td><td>Non disponible<\/td><\/tr><tr><td>Code r\u00e9ponse 404<\/td><td><code>http.response.code == 404<\/code><\/td><td>Non disponible<\/td><\/tr><tr><td>Trafic DNS vers Google<\/td><td><code>dns and ip.dst == 8.8.8.8<\/code><\/td><td><code>port 53 and dst host 8.8.8.8<\/code><\/td><\/tr><tr><td>Retransmissions TCP<\/td><td><code>tcp.analysis.retransmission<\/code><\/td><td>Non disponible<\/td><\/tr><tr><td>Paquets TLS Client Hello<\/td><td><code>tls.handshake.type == 1<\/code><\/td><td>Non disponible<\/td><\/tr><tr><td>IP source sp\u00e9cifique<\/td><td><code>ip.src == 192.168.1.50<\/code><\/td><td><code>src host 192.168.1.50<\/code><\/td><\/tr><tr><td>Paquets &gt; 1400 octets<\/td><td><code>frame.len > 1400<\/code><\/td><td><code>greater 1400<\/code><\/td><\/tr><tr><td>Trafic ICMP (ping)<\/td><td><code>icmp<\/code><\/td><td><code>icmp<\/code><\/td><\/tr><tr><td>Heure comprise entre<\/td><td><code>frame.time >= \"2026-06-18 10:00:00\"<\/code><\/td><td>Non disponible<\/td><\/tr><tr><td>Credential en clair<\/td><td><code>http contains \"password\"<\/code><\/td><td>Non disponible<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;autocompl\u00e9tion des filtres d&#8217;affichage est particuli\u00e8rement puissante depuis la version 4.2.0 : commencez \u00e0 taper <code>http.<\/code> et Wireshark liste tous les champs HTTP disponibles. Le fond de la barre passe au vert si la syntaxe est valide, ce qui \u00e9limine les erreurs silencieuses.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour sauvegarder vos filtres les plus utilis\u00e9s, cliquez sur l&#8217;ic\u00f4ne de marque-page \u00e0 droite de la barre de filtres. Vous pouvez cr\u00e9er des boutons de filtre rapide qui apparaissent sous la barre, acc\u00e9l\u00e9rant l&#8217;analyse r\u00e9p\u00e9titive.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"etape-6-analyser-le-trafic-http-et-suivre-les-flux\">\u00c9tape 6 : Analyser le trafic HTTP et suivre les flux<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le trafic HTTP non chiffr\u00e9 (port 80) est directement lisible dans Wireshark. Appliquez le filtre <code>http<\/code> pour isoler les requ\u00eates et r\u00e9ponses. Cliquez droit sur un paquet HTTP, puis <strong>Suivre &gt; Flux HTTP<\/strong> pour reconstituer la conversation compl\u00e8te.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La vue &#8220;Suivre le flux&#8221; affiche la requ\u00eate et la r\u00e9ponse en alternant les couleurs rouge (client vers serveur) et bleu (serveur vers client). C&#8217;est le moyen le plus rapide de lire le contenu d&#8217;une session HTTP, y compris les en-t\u00eates, les cookies et le corps de la r\u00e9ponse.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour les API REST, filtrez par m\u00e9thode et code de statut simultan\u00e9ment :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><code>http.request.method == \"POST\" and http.request.uri contains \"\/api\/login\"<\/code> : identifier les tentatives de connexion.<\/li>\n<li><code>http.response.code >= 500<\/code> : rep\u00e9rer les erreurs serveur.<\/li>\n<li><code>http.response.code == 200 and http.content_length > 10000<\/code> : identifier les grosses r\u00e9ponses potentiellement exfiltr\u00e9es.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Pour le trafic HTTPS, les paquets TLS apparaissent chiffr\u00e9s par d\u00e9faut. Wireshark affiche la couche TLS avec les \u00e9tapes du handshake (Client Hello, Server Hello, Certificate, etc.) mais pas le contenu d\u00e9chiffr\u00e9, sauf si vous fournissez les cl\u00e9s (voir \u00e9tape 7).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Le filtre <code>tls.handshake.extensions_server_name<\/code> permet de voir le SNI (Server Name Indication) des connexions TLS, m\u00eame sans d\u00e9chiffrement. Cela r\u00e9v\u00e8le \u00e0 quels domaines se connecte une machine, m\u00eame via HTTPS.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"etape-7-dechiffrer-le-trafic-tls-avec-les-cles-privees\">\u00c9tape 7 : D\u00e9chiffrer le trafic TLS avec les cl\u00e9s priv\u00e9es<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wireshark peut d\u00e9chiffrer le trafic TLS si vous disposez de la cl\u00e9 priv\u00e9e du serveur ou des cl\u00e9s de session via le m\u00e9canisme SSLKEYLOGFILE. Cette fonctionnalit\u00e9 est cruciale pour analyser des probl\u00e8mes de s\u00e9curit\u00e9 sur vos propres serveurs ou lors de tests d&#8217;intrusion autoris\u00e9s.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>M\u00e9thode 1 : cl\u00e9 priv\u00e9e RSA<\/strong> (fonctionne uniquement avec les suites de chiffrement sans Perfect Forward Secrecy, comme RSA key exchange). Dans <strong>\u00c9dition &gt; Pr\u00e9f\u00e9rences &gt; Protocoles &gt; TLS<\/strong>, ajoutez votre fichier de cl\u00e9 priv\u00e9e PEM avec l&#8217;adresse IP et le port du serveur. Cette m\u00e9thode ne fonctionne pas avec TLS 1.3 ni avec les suites ECDHE.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>M\u00e9thode 2 : SSLKEYLOGFILE<\/strong> (m\u00e9thode recommand\u00e9e, compatible TLS 1.3). D\u00e9finissez la variable d&#8217;environnement <code>SSLKEYLOGFILE<\/code> avant de lancer le navigateur ou l&#8217;application. Les cl\u00e9s de session sont alors \u00e9crites dans un fichier texte que Wireshark peut charger :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Linux\/macOS : exporter la variable avant de lancer le navigateur\nexport SSLKEYLOGFILE=\/tmp\/ssl-keys.log\ngoogle-chrome --incognito &\n# ou\nfirefox &\n\n# Windows (PowerShell) : d\u00e9finir la variable d'environnement\n$env:SSLKEYLOGFILE = \"C:\\Temp\\ssl-keys.log\"\nStart-Process \"chrome.exe\"\n\n# Capturer le trafic pendant la session (dans un autre terminal)\ntshark -i eth0 -w \/tmp\/capture.pcapng\n\n# Dans Wireshark : \u00c9dition > Pr\u00e9f\u00e9rences > Protocoles > TLS\n# Champ \"(Pre)-Master-Secret log filename\" : \/tmp\/ssl-keys.log<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Apr\u00e8s configuration, rechargez la capture avec <code>Ctrl+Shift+R<\/code>. Le trafic HTTPS s&#8217;affiche maintenant en clair dans le panneau de d\u00e9tail, avec les requ\u00eates HTTP\/2 ou HTTP\/3 visibles. Appliquez alors le filtre <code>http2<\/code> ou <code>http<\/code> pour ne voir que le contenu d\u00e9chiffr\u00e9.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Important<\/strong> : le fichier SSLKEYLOGFILE contient des informations sensibles permettant de d\u00e9chiffrer toutes les sessions captur\u00e9es. Ne l&#8217;activez que dans un environnement de test contr\u00f4l\u00e9, supprimez-le imm\u00e9diatement apr\u00e8s usage, et ne capturez jamais de trafic de production avec cette m\u00e9thode sans autorisation explicite.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour aller plus loin sur les protocoles TLS et leurs diff\u00e9rences de performance, consultez notre analyse d\u00e9taill\u00e9e : <a href=\"\/fr\/tls-1-3-vs-tls-1-2\/\">TLS 1.3 vs TLS 1.2 : 40 % plus rapide, 5 CVE<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"etape-8-detecter-les-attaques-et-anomalies-reseau\">\u00c9tape 8 : D\u00e9tecter les attaques et anomalies r\u00e9seau<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wireshark est un outil de d\u00e9tection passive puissant. Plusieurs types d&#8217;attaques g\u00e9n\u00e8rent des signatures r\u00e9seau caract\u00e9ristiques identifiables avec les bons filtres.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Scan de ports (Nmap SYN scan)<\/strong> : un attaquant qui scanne votre r\u00e9seau g\u00e9n\u00e8re de nombreux paquets TCP SYN vers des ports vari\u00e9s, sans compl\u00e9ter le three-way handshake. Filtre : <code>tcp.flags.syn == 1 and tcp.flags.ack == 0<\/code>. Si vous voyez des centaines de paquets SYN depuis une m\u00eame source vers de multiples ports en quelques secondes, c&#8217;est un scan. Consultez notre tutoriel <a href=\"\/fr\/nmap-scanner-reseau-tutoriel\/\">Nmap : scanner un r\u00e9seau en 12 \u00e9tapes<\/a> pour comprendre ces signatures du c\u00f4t\u00e9 attaquant.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>ARP Spoofing<\/strong> : une attaque de type man-in-the-middle sur r\u00e9seau local. Filtre : <code>arp.duplicate-address-detected<\/code> ou <code>arp.opcode == 2<\/code> pour voir toutes les r\u00e9ponses ARP. Si une m\u00eame adresse MAC r\u00e9pond \u00e0 plusieurs IP, ou si une IP change de MAC, c&#8217;est suspect.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Exfiltration DNS<\/strong> : des requ\u00eates DNS avec des noms de domaines anormalement longs (plus de 50 caract\u00e8res dans le sous-domaine) indiquent souvent un tunnel DNS ou une exfiltration. Filtre : <code>dns.qry.name.len > 50<\/code>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Credential en clair sur HTTP<\/strong> : filtre <code>http.request.method == \"POST\" and http contains \"password\"<\/code> pour d\u00e9tecter des formulaires d&#8217;authentification non chiffr\u00e9s. En 2026, ce type de trafic ne devrait plus exister sur des applications s\u00e9rieuses, mais il appara\u00eet encore dans des environnements legacy.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Attaque par force brute SSH<\/strong> : de nombreuses nouvelles connexions TCP vers le port 22 depuis une m\u00eame source. Filtre : <code>tcp.dstport == 22 and tcp.flags.syn == 1<\/code>, puis allez dans <strong>Statistiques &gt; Conversations<\/strong> pour voir le volume par IP source.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Le <strong>syst\u00e8me Informations Expert<\/strong> de Wireshark classe automatiquement les anomalies en quatre niveaux : <em>Chat<\/em> (informatif), <em>Note<\/em> (\u00e0 surveiller), <em>Warning<\/em> (probl\u00e8me potentiel) et <em>Error<\/em> (probl\u00e8me confirm\u00e9). Acc\u00e9dez-y via <strong>Analyse &gt; Informations expert<\/strong>. Chaque entr\u00e9e renvoie directement aux paquets concern\u00e9s, ce qui acc\u00e9l\u00e8re l&#8217;investigation.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"etape-9-statistiques-et-graphiques-io\">\u00c9tape 9 : Statistiques et graphiques IO<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le menu <strong>Statistiques<\/strong> de Wireshark regroupe des outils d&#8217;analyse qui transforment une capture brute en m\u00e9triques exploitables.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>R\u00e9sum\u00e9 de la capture<\/strong> (<code>Statistiques &gt; Capture File Properties<\/code>) : affiche la dur\u00e9e, le nombre de paquets, le d\u00e9bit moyen, les protocoles d\u00e9tect\u00e9s et la proportion de chaque protocole. C&#8217;est le point de d\u00e9part d&#8217;une investigation : en 30 secondes, vous voyez si 80 % du trafic est du TLS normal ou si du DNS anormalement dense domine.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Hi\u00e9rarchie des protocoles<\/strong> (<code>Statistiques &gt; Hi\u00e9rarchie des protocoles<\/code>) : pr\u00e9sente une arborescence de tous les protocoles avec leur pourcentage du trafic total. Rep\u00e9rez imm\u00e9diatement si un protocole inhabituel (IRC, Telnet, ou un protocole propri\u00e9taire) consomme une part significative.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Conversations<\/strong> (<code>Statistiques &gt; Conversations<\/code>) : liste toutes les paires source\/destination par couche (Ethernet, IP, TCP, UDP). Triez par &#8220;Octets&#8221; pour identifier le plus gros \u00e9metteur ou r\u00e9cepteur. En cas de suspicion d&#8217;exfiltration, cherchez une destination externe avec un volume anormalement \u00e9lev\u00e9.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Graphique IO<\/strong> (<code>Statistiques &gt; Graphique IO<\/code>) : visualise le d\u00e9bit par unit\u00e9 de temps. Vous pouvez superposer plusieurs filtres sur le m\u00eame graphe pour comparer, par exemple, le trafic TCP total vs le trafic DNS. L&#8217;intervalle de temps est configurable de 1 milliseconde \u00e0 plusieurs secondes. Les valeurs de temps Unix absolues sont support\u00e9es depuis la version 4.2.0 (syntaxe <code>ts:1718700000<\/code>).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Temps de r\u00e9ponse des requ\u00eates<\/strong> (<code>Statistiques &gt; Service Response Time<\/code>) : pour des protocoles comme DNS, HTTP, SMB ou DCERPC, Wireshark calcule automatiquement le temps entre la requ\u00eate et la r\u00e9ponse. C&#8217;est l&#8217;outil id\u00e9al pour diagnostiquer des latences applicatives sans modifier le code.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"etape-10-tshark-linterface-en-ligne-de-commande\">\u00c9tape 10 : TShark, l&#8217;interface en ligne de commande<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">TShark est l&#8217;\u00e9quivalent en ligne de commande de Wireshark. Il partage les m\u00eames dissecteurs de protocoles et la m\u00eame syntaxe de filtres, mais s&#8217;ex\u00e9cute sans interface graphique, ce qui le rend id\u00e9al pour les serveurs, les scripts d&#8217;automatisation et les pipelines CI\/CD.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Lister les interfaces r\u00e9seau disponibles\ntshark -D\n\n# Capturer 100 paquets sur eth0 et les sauvegarder\ntshark -i eth0 -c 100 -w \/tmp\/capture.pcapng\n\n# Lire un fichier PCAP et appliquer un filtre d'affichage\ntshark -r \/tmp\/capture.pcapng -Y \"http.request.method == POST\"\n\n# Extraire des champs sp\u00e9cifiques en sortie texte\ntshark -r \/tmp\/capture.pcapng \\\n  -Y \"dns\" \\\n  -T fields \\\n  -e frame.time \\\n  -e ip.src \\\n  -e dns.qry.name \\\n  -E header=y \\\n  -E separator=,\n\n# Afficher le r\u00e9sum\u00e9 des donn\u00e9es fabricants (depuis Wireshark 4.2.0)\ntshark -G manuf | head -20\n\n# Capturer 60 secondes de trafic HTTP en d\u00e9cryptant TLS avec SSLKEYLOGFILE\ntshark -i eth0 \\\n  -o tls.keylog_file:\/tmp\/ssl-keys.log \\\n  -Y \"http\" \\\n  -T fields \\\n  -e http.request.uri \\\n  -e http.response.code \\\n  -a duration:60\n\n# Exporter en JSON pour traitement avec jq ou Python\ntshark -r \/tmp\/capture.pcapng -T json > \/tmp\/capture.json\ncat \/tmp\/capture.json | python3 -c \"\nimport json, sys\npackets = json.load(sys.stdin)\nfor pkt in packets[:5]:\n    layers = pkt.get('_source', {}).get('layers', {})\n    print(layers.get('ip', {}).get('ip.src', 'N\/A'), '->', layers.get('ip', {}).get('ip.dst', 'N\/A'))\n\"<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">TShark supporte \u00e9galement les <strong>dissecteurs Lua<\/strong> via l&#8217;option <code>-X lua_script:\/chemin\/vers\/script.lua<\/code>, et peut lire des flux depuis stdin avec <code>tshark -r -<\/code>, ce qui permet de l&#8217;int\u00e9grer dans des pipelines shell complexes. Pour du monitoring continu, combinez TShark avec <code>tcpdump<\/code> ou <code>dumpcap<\/code> pour la capture et TShark pour l&#8217;analyse diff\u00e9r\u00e9e.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Outil<\/th><th>Interface<\/th><th>Dissecteurs<\/th><th>Filtres<\/th><th>Cas d&#8217;usage<\/th><\/tr><\/thead><tbody><tr><td>Wireshark GUI<\/td><td>Graphique<\/td><td>3 000+ protocoles<\/td><td>BPF + display<\/td><td>Analyse interactive, investigation<\/td><\/tr><tr><td>TShark<\/td><td>Ligne de commande<\/td><td>Identiques \u00e0 Wireshark<\/td><td>Identiques \u00e0 Wireshark<\/td><td>Scripts, serveurs, automatisation<\/td><\/tr><tr><td>tcpdump<\/td><td>Ligne de commande<\/td><td>Minimal<\/td><td>BPF uniquement<\/td><td>Capture l\u00e9g\u00e8re, embarqu\u00e9<\/td><\/tr><tr><td>NetworkMiner<\/td><td>Graphique (Windows)<\/td><td>Limit\u00e9<\/td><td>Basique<\/td><td>Forensique, extraction de fichiers<\/td><\/tr><tr><td>Zeek (Bro)<\/td><td>Ligne de commande<\/td><td>\u00c9tendu<\/td><td>Scripts Zeek<\/td><td>IDS r\u00e9seau, journalisation<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"etape-11-automatiser-avec-des-scripts-lua\">\u00c9tape 11 : Automatiser avec des scripts Lua<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wireshark int\u00e8gre un moteur Lua (version 5.4) qui permet d&#8217;\u00e9crire des dissecteurs personnalis\u00e9s, des post-dissecteurs, des champs calcul\u00e9s et des boutons de menu. C&#8217;est la fonctionnalit\u00e9 la plus avanc\u00e9e de Wireshark, utilis\u00e9e par les \u00e9quipes s\u00e9curit\u00e9 pour analyser des protocoles propri\u00e9taires ou des formats de donn\u00e9es sp\u00e9cifiques.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Les scripts Lua se chargent depuis le r\u00e9pertoire de configuration personnel de Wireshark (<code>~\/.config\/wireshark\/<\/code> sur Linux, <code>%APPDATA%\\Wireshark\\<\/code> sur Windows) ou via l&#8217;option <code>-X lua_script:<\/code> de TShark.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>-- Exemple : dissecteur Lua pour un protocole propri\u00e9taire sur port 9999\n-- Fichier : ~\/.config\/wireshark\/my_protocol.lua\n\nlocal my_proto = Proto(\"myproto\", \"Mon Protocole Propri\u00e9taire\")\n\n-- D\u00e9finir les champs du protocole\nlocal f_magic    = ProtoField.uint16(\"myproto.magic\", \"Magic Number\", base.HEX)\nlocal f_version  = ProtoField.uint8(\"myproto.version\", \"Version\", base.DEC)\nlocal f_length   = ProtoField.uint32(\"myproto.length\", \"Payload Length\", base.DEC)\nlocal f_payload  = ProtoField.bytes(\"myproto.payload\", \"Payload\")\n\nmy_proto.fields = {f_magic, f_version, f_length, f_payload}\n\n-- Fonction de dissection\nfunction my_proto.dissector(buffer, pinfo, tree)\n    if buffer:len() < 7 then return end\n\n    pinfo.cols.protocol = \"MYPROTO\"\n\n    local subtree = tree:add(my_proto, buffer(), \"Mon Protocole\")\n    subtree:add(f_magic,   buffer(0, 2))\n    subtree:add(f_version, buffer(2, 1))\n    subtree:add(f_length,  buffer(3, 4))\n\n    local payload_len = buffer(3, 4):uint()\n    if buffer:len() >= 7 + payload_len then\n        subtree:add(f_payload, buffer(7, payload_len))\n    end\nend\n\n-- Enregistrer le dissecteur sur le port TCP 9999\nlocal tcp_port = DissectorTable.get(\"tcp.port\")\ntcp_port:add(9999, my_proto)<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Ce script cr\u00e9e un dissecteur pour un protocole fictif fonctionnant sur le port TCP 9999. Il d\u00e9finit 4 champs (magic, version, longueur, payload), les ajoute \u00e0 l&#8217;arborescence de Wireshark, et enregistre le dissecteur sur le port concern\u00e9. Une fois le script charg\u00e9, Wireshark d\u00e9code automatiquement ce trafic et les champs <code>myproto.*<\/code> deviennent disponibles dans les filtres d&#8217;affichage.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour des cas d&#8217;usage r\u00e9els, consultez le <a href=\"https:\/\/wiki.wireshark.org\/DisplayFilters\" target=\"_blank\" rel=\"noopener\">wiki Wireshark sur les filtres d&#8217;affichage<\/a> et la <a href=\"https:\/\/www.wireshark.org\/docs\/wsug_html_chunked\/\" target=\"_blank\" rel=\"noopener\">documentation utilisateur officielle<\/a> pour les API Lua compl\u00e8tes.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"etape-12-exporter-sauvegarder-et-partager-vos-captures\">\u00c9tape 12 : Exporter, sauvegarder et partager vos captures<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wireshark propose plusieurs formats d&#8217;export selon l&#8217;usage pr\u00e9vu. Le choix du format impacte la compatibilit\u00e9 avec d&#8217;autres outils et la taille du fichier.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>PCAP<\/strong> : format universel, compatible avec tcpdump, Zeek, Snort, NetworkMiner. Limit\u00e9 \u00e0 une seule interface par fichier et aux commentaires de base.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>PCAPNG<\/strong> : format moderne recommand\u00e9. Supporte plusieurs interfaces, les commentaires par paquet, les m\u00e9tadonn\u00e9es d&#8217;interface et les horodatages haute r\u00e9solution. Wireshark 4.x l&#8217;utilise par d\u00e9faut.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Export d&#8217;objets<\/strong> (<code>Fichier &gt; Exporter des objets<\/code>) : Wireshark peut extraire automatiquement les fichiers transf\u00e9r\u00e9s via HTTP, SMB, FTP ou DICOM depuis une capture. Pratique pour la forensique ou pour v\u00e9rifier qu&#8217;aucune donn\u00e9e sensible n&#8217;est exfiltr\u00e9e en clair.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Export en JSON via TShark<\/strong> : pour int\u00e9grer des captures dans un SIEM ou une base de donn\u00e9es :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Exporter une capture filtr\u00e9e en JSON compact\ntshark -r capture.pcapng \\\n  -Y \"ip.src == 10.0.0.0\/8 and tcp\" \\\n  -T ek \\\n  > capture_filtree.json\n\n# Anonymiser les adresses IP avant partage (outil 'tcprewrite' de tcpreplay)\ntcprewrite \\\n  --seed=12345 \\\n  --infile=capture.pcapng \\\n  --outfile=capture_anonymisee.pcapng\n\n# Supprimer les paquets d'une plage d'IP (editcap, inclus dans Wireshark)\neditcap \\\n  --discard \"ip.src==192.168.1.1\" \\\n  capture.pcapng \\\n  capture_epuree.pcapng<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Avant de partager une capture r\u00e9seau en dehors de votre organisation, anonymisez syst\u00e9matiquement les adresses IP, les adresses MAC et tout contenu applicatif potentiellement sensible. Des outils comme <code>tcprewrite<\/code> (inclus dans le paquet tcpreplay) permettent de pseudonymiser les adresses de mani\u00e8re coh\u00e9rente, pr\u00e9servant la structure des flux tout en rendant les donn\u00e9es non tra\u00e7ables.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour des serveurs qui g\u00e9n\u00e8rent du trafic \u00e0 haute v\u00e9locit\u00e9, utilisez <code>dumpcap<\/code> (inclus avec Wireshark) plut\u00f4t que TShark pour la phase de capture : <code>dumpcap<\/code> est un processus l\u00e9ger d\u00e9di\u00e9 \u00e0 la capture qui minimise les pertes de paquets, m\u00eame sur des liaisons 10 Gbps.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"6-pieges-courants-et-comment-les-eviter\">6 pi\u00e8ges courants et comment les \u00e9viter<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Pi\u00e8ge 1 : capturer sur la mauvaise interface.<\/strong> Wireshark liste toutes les interfaces disponibles, y compris les interfaces virtuelles (loopback, VPN, conteneurs Docker). Si vous ne voyez pas le trafic attendu, v\u00e9rifiez que vous capturez sur l&#8217;interface physique active (<code>eth0<\/code>, <code>ens3<\/code>, <code>en0<\/code>) et pas sur <code>lo<\/code> ou une interface virtuelle. Sous Linux, <code>ip link show<\/code> liste toutes les interfaces et leur \u00e9tat.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Pi\u00e8ge 2 : confondre filtres de capture et filtres d&#8217;affichage.<\/strong> Les filtres BPF (capture) ne comprennent pas les champs applicatifs comme <code>http.request.method<\/code>. Si votre filtre de capture n&#8217;affiche aucun paquet, vous avez probablement utilis\u00e9 la syntaxe des filtres d&#8217;affichage. R\u00e8gle simple : filtres BPF pour les protocoles de niveau 3-4, filtres d&#8217;affichage pour tout ce qui est au-dessus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Pi\u00e8ge 3 : fichiers de capture incontr\u00f4lables.<\/strong> Sur un r\u00e9seau \u00e0 1 Gbps, Wireshark peut g\u00e9n\u00e9rer des gigaoctets de donn\u00e9es en quelques minutes. Configurez toujours la capture en anneau (ring buffer) avec une taille maximale par fichier et un nombre maximum de fichiers. Utilisez un filtre BPF d\u00e8s le d\u00e9part pour limiter le volume.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Pi\u00e8ge 4 : le mode promiscuous d\u00e9sactiv\u00e9 sur les interfaces virtuelles.<\/strong> Sur les interfaces virtuelles (VMware, VirtualBox, WSL2), le mode promiscuous est souvent d\u00e9sactiv\u00e9 par l&#8217;hyperviseur. Vous ne verrez que le trafic destin\u00e9 \u00e0 votre propre adresse MAC. Activez le mode promiscuous dans les param\u00e8tres de l&#8217;adaptateur r\u00e9seau virtuel, ou utilisez un TAP\/SPAN port sur un switch physique.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Pi\u00e8ge 5 : oublier de sauvegarder avant de fermer.<\/strong> Wireshark ne demande pas de confirmation \u00e0 la fermeture si vous n&#8217;avez pas sauvegard\u00e9 une capture non nomm\u00e9e. Activez l&#8217;enregistrement automatique via un fichier temporaire dans les options de capture (<code>Use a temporary file<\/code> est activ\u00e9 par d\u00e9faut, mais le fichier est supprim\u00e9 \u00e0 la fermeture sans sauvegarde explicite).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Pi\u00e8ge 6 : analyser du TLS 1.3 avec la m\u00e9thode de cl\u00e9 priv\u00e9e RSA.<\/strong> TLS 1.3 utilise exclusivement des suites de chiffrement avec Perfect Forward Secrecy (ECDHE). La m\u00e9thode de d\u00e9chiffrement par cl\u00e9 priv\u00e9e RSA ne fonctionne que sur TLS 1.2 avec RSA key exchange. Pour TLS 1.3, seule la m\u00e9thode SSLKEYLOGFILE fonctionne. V\u00e9rifiez la version TLS avec le filtre <code>tls.handshake.version<\/code> avant de commencer.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"8-problemes-frequents-et-leurs-solutions\">8 probl\u00e8mes fr\u00e9quents et leurs solutions<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Probl\u00e8me 1 : &#8220;No interfaces found&#8221; sous Linux.<\/strong> Causes possibles : l&#8217;utilisateur n&#8217;est pas dans le groupe <code>wireshark<\/code> (relancez la session apr\u00e8s <code>usermod -aG wireshark $USER<\/code>), ou libpcap n&#8217;est pas install\u00e9 (<code>sudo apt install libpcap-dev<\/code>). V\u00e9rifiez avec <code>ls -la \/dev\/bpf*<\/code> ou <code>ls -la \/proc\/net\/dev<\/code>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Probl\u00e8me 2 : Wireshark affiche des paquets mais aucun filtre ne fonctionne.<\/strong> Le filtre est appliqu\u00e9 mais le r\u00e9sultat est vide ? V\u00e9rifiez que le fond de la barre de filtres est vert (syntaxe valide). Un fond rouge signifie une erreur de syntaxe. Un fond jaune (depuis certaines versions) indique un filtre valide mais peu susceptible de correspondre.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Probl\u00e8me 3 : le d\u00e9chiffrement TLS ne fonctionne pas.<\/strong> V\u00e9rifiez que le fichier SSLKEYLOGFILE est bien cr\u00e9\u00e9 et non vide (<code>wc -l \/tmp\/ssl-keys.log<\/code>). Certains navigateurs ignorent la variable si elle est d\u00e9finie apr\u00e8s leur d\u00e9marrage. V\u00e9rifiez que le chemin dans les pr\u00e9f\u00e9rences Wireshark correspond exactement au fichier. Si la capture et les cl\u00e9s ont \u00e9t\u00e9 faites s\u00e9par\u00e9ment, les timestamps doivent se correspondre.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Probl\u00e8me 4 : Wireshark est lent ou plante sur de gros fichiers PCAP.<\/strong> Les fichiers PCAP de plusieurs gigaoctets peuvent saturer la RAM. Solutions : utilisez <code>editcap<\/code> pour d\u00e9couper le fichier en tranches (<code>editcap -i 300 big.pcapng slice<\/code>), ou ouvrez directement le fichier dans TShark qui consomme moins de m\u00e9moire. Augmentez \u00e9galement la m\u00e9moire allou\u00e9e \u00e0 Wireshark via les variables d&#8217;environnement de la JVM si vous utilisez une version Java.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Probl\u00e8me 5 : les paquets apparaissent comme &#8220;Continuation or non-HTTP traffic&#8221; au lieu d&#8217;\u00eatre d\u00e9cod\u00e9s en HTTP.<\/strong> HTTP sur un port non standard (ex : 8080, 8443) n&#8217;est pas d\u00e9tect\u00e9 automatiquement. Cliquez droit sur un paquet, <strong>D\u00e9coder comme &gt; HTTP<\/strong>, ou configurez le port dans les pr\u00e9f\u00e9rences du dissecteur HTTP.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Probl\u00e8me 6 : les couleurs des paquets semblent al\u00e9atoires apr\u00e8s une mise \u00e0 jour.<\/strong> Les r\u00e8gles de colorisation sont stock\u00e9es dans le profil utilisateur. Si vous avez import\u00e9 un profil d&#8217;une version pr\u00e9c\u00e9dente, certaines r\u00e8gles peuvent \u00eatre invalides. Allez dans <strong>Vue &gt; R\u00e8gles de coloration<\/strong> pour r\u00e9initialiser aux valeurs par d\u00e9faut.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Probl\u00e8me 7 : tshark retourne &#8220;Lua: error during loading&#8221; au d\u00e9marrage.<\/strong> Un script Lua du r\u00e9pertoire de configuration contient une erreur de syntaxe. Identifiez le script coupable avec <code>tshark -X lua_script:mon_script.lua 2>&1<\/code> et corrigez la syntaxe. D\u00e9sactivez temporairement tous les scripts Lua avec <code>tshark --disable-protocol Lua<\/code>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Probl\u00e8me 8 : les paquets UDP apparaissent dans le mauvais ordre.<\/strong> Les paquets UDP n&#8217;ont pas de m\u00e9canisme de s\u00e9quencement natif. Le d\u00e9sordre apparent peut \u00eatre r\u00e9el (r\u00e9seau instable) ou d\u00fb aux timestamps de capture. Activez <strong>Capture &gt; Options &gt; Use pcapng format<\/strong> qui offre une meilleure r\u00e9solution temporelle. Pour la r\u00e9assemblage de flux UDP (ex : RTP, QUIC), activez le suivi de flux via <strong>Analyser &gt; Activer les protocoles<\/strong>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"conseils-avances-pour-une-analyse-reseau-professionnelle\">Conseils avanc\u00e9s pour une analyse r\u00e9seau professionnelle<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Profils de configuration multiples.<\/strong> Wireshark supporte plusieurs profils (<strong>\u00c9dition &gt; Profils de configuration<\/strong>). Cr\u00e9ez un profil &#8220;Investigation s\u00e9curit\u00e9&#8221; avec des r\u00e8gles de colorisation sp\u00e9cifiques aux attaques, un profil &#8220;D\u00e9veloppement API&#8221; pour l&#8217;analyse HTTP\/2, et un profil &#8220;Performance r\u00e9seau&#8221; avec des colonnes de temps de r\u00e9ponse. Basculez entre profils en un clic.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Colonnes personnalis\u00e9es.<\/strong> Ajoutez des colonnes calcul\u00e9es depuis n&#8217;importe quel champ de protocole. Par exemple, ajoutez une colonne &#8220;RTT TCP&#8221; depuis <code>tcp.analysis.ack_rtt<\/code> pour visualiser la latence de chaque connexion directement dans la liste des paquets, sans avoir \u00e0 inspecter chaque paquet individuellement.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>GeoIP et g\u00e9olocalisation.<\/strong> Wireshark peut afficher la g\u00e9olocalisation des adresses IP si vous installez les bases de donn\u00e9es MaxMind GeoLite2. T\u00e9l\u00e9chargez <code>GeoLite2-City.mmdb<\/code> et configurez le chemin dans <strong>\u00c9dition &gt; Pr\u00e9f\u00e9rences &gt; R\u00e9solution de noms &gt; MaxMind database directories<\/strong>. Les colonnes Country et City deviennent disponibles, ce qui est pr\u00e9cieux pour identifier des destinations g\u00e9ographiques suspectes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Captures distantes avec SSH.<\/strong> Pour analyser le trafic d&#8217;un serveur distant sans y installer Wireshark, redirigez la capture de <code>tcpdump<\/code> via SSH directement dans Wireshark :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Analyser le trafic d'un serveur distant en temps r\u00e9el\n# (remplacez user@serveur par vos identifiants SSH)\nssh user@serveur.example.com \"tcpdump -i eth0 -w - 'port 80'\" | wireshark -k -i -\n\n# Avec un filtre plus restrictif pour \u00e9conomiser la bande passante SSH\nssh user@serveur.example.com \\\n  \"tcpdump -i eth0 -w - 'tcp and port 443 and host 10.0.0.50'\" | \\\n  wireshark -k -i -<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Int\u00e9gration avec des outils de s\u00e9curit\u00e9.<\/strong> Exportez vos captures en JSON avec TShark et ing\u00e9rez-les dans Elasticsearch, Splunk ou Grafana Loki pour une analyse \u00e0 grande \u00e9chelle. Pour une protection proactive de vos serveurs web s\u00e9curis\u00e9s avec HTTPS, combinez l&#8217;analyse Wireshark avec un pare-feu applicatif : notre guide <a href=\"\/fr\/lets-encrypt-nginx-https-tutoriel\/\">Let&#8217;s Encrypt + Nginx : HTTPS en 12 \u00e9tapes<\/a> couvre la configuration compl\u00e8te du chiffrement c\u00f4t\u00e9 serveur.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour une protection compl\u00e8te de vos serveurs Linux, couchez Wireshark avec <a href=\"\/fr\/fail2ban-tutoriel-serveur-linux\/\">Fail2ban<\/a> qui bloque automatiquement les IP apr\u00e8s d\u00e9tection d&#8217;attaques, et avec les certificats TLS g\u00e9n\u00e9r\u00e9s via <a href=\"\/fr\/openssl-cles-certificats-tutoriel\/\">OpenSSL<\/a> que Wireshark peut ensuite utiliser pour le d\u00e9chiffrement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"couverture-connexe\">Couverture connexe<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/fr\/nmap-scanner-reseau-tutoriel\/\">Nmap : scanner un r\u00e9seau en 12 \u00e9tapes, 30 min [2026]<\/a><\/li>\n<li><a href=\"\/fr\/tls-1-3-vs-tls-1-2\/\">TLS 1.3 vs TLS 1.2 : 40 % plus rapide, 5 CVE [2026]<\/a><\/li>\n<li><a href=\"\/fr\/openssl-cles-certificats-tutoriel\/\">OpenSSL : cl\u00e9s et certificats en 12 \u00e9tapes [2026]<\/a><\/li>\n<li><a href=\"\/fr\/fail2ban-tutoriel-serveur-linux\/\">Fail2ban : prot\u00e9ger un serveur Linux en 12 \u00e9tapes [2026]<\/a><\/li>\n<li><a href=\"\/fr\/lets-encrypt-nginx-https-tutoriel\/\">Let&#8217;s Encrypt + Nginx : HTTPS en 12 \u00e9tapes [2026]<\/a><\/li>\n<li><a href=\"\/fr\/owasp-top-10-nodejs\/\">OWASP Top 10 Node.js : s\u00e9curisez votre API en 12 \u00e9tapes [2026]<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"faq-wireshark-en-2026\">FAQ : Wireshark en 2026<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wireshark-est-il-legal-a-utiliser\">Wireshark est-il l\u00e9gal \u00e0 utiliser ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Wireshark est l\u00e9gal si vous l&#8217;utilisez sur un r\u00e9seau dont vous \u00eates l&#8217;administrateur ou sur lequel vous avez une autorisation explicite. Capturer le trafic d&#8217;autres utilisateurs sans leur consentement est ill\u00e9gal dans la plupart des pays, y compris en France (article 226-15 du Code p\u00e9nal pour l&#8217;interception de correspondances priv\u00e9es). En entreprise, les conditions d&#8217;utilisation des outils de capture doivent \u00eatre formalis\u00e9es dans la charte informatique et valid\u00e9es par le RSSI.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"quelle-est-la-difference-entre-wireshark-et-tcpdump\">Quelle est la diff\u00e9rence entre Wireshark et tcpdump ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">tcpdump est un outil en ligne de commande qui capture le trafic avec une syntaxe BPF et affiche un r\u00e9sum\u00e9 textuel. Il est plus l\u00e9ger et disponible sur presque tous les syst\u00e8mes Unix. Wireshark offre une interface graphique compl\u00e8te, d\u00e9code plus de 3 000 protocoles, supporte les filtres d&#8217;affichage avanc\u00e9s, la reconstitution de flux, les statistiques, les graphiques et les scripts Lua. Dans la pratique, on capture souvent avec tcpdump sur un serveur distant et on analyse le fichier PCAP avec Wireshark sur son poste local.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"peut-on-utiliser-wireshark-pour-tester-la-securite-de-son-propre-reseau\">Peut-on utiliser Wireshark pour tester la s\u00e9curit\u00e9 de son propre r\u00e9seau ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Absolument. Wireshark est un outil passif : il observe le trafic sans le modifier ni l&#8217;injecter. Pour des tests actifs (scan de ports, tests de p\u00e9n\u00e9tration), vous avez besoin d&#8217;outils compl\u00e9mentaires comme <a href=\"\/fr\/nmap-scanner-reseau-tutoriel\/\">Nmap<\/a>. Wireshark vous permet de valider que votre r\u00e9seau ne transmet pas de donn\u00e9es en clair, que vos services TLS utilisent bien les bonnes suites de chiffrement, et que vos applications ne font pas de requ\u00eates vers des destinations inattendues.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"comment-analyser-du-trafic-chiffre-avec-wireshark-sans-cle-privee\">Comment analyser du trafic chiffr\u00e9 avec Wireshark sans cl\u00e9 priv\u00e9e ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Sans cl\u00e9s de d\u00e9chiffrement, Wireshark peut quand m\u00eame extraire de nombreuses informations du trafic TLS : la version TLS n\u00e9goci\u00e9e, les suites de chiffrement propos\u00e9es et choisies, le SNI (nom de domaine cible), les certificats \u00e9chang\u00e9s (y compris leur contenu d\u00e9cod\u00e9 : CN, \u00e9metteur, dates de validit\u00e9), et la longueur des messages chiffr\u00e9s. Ces m\u00e9tadonn\u00e9es permettent souvent d&#8217;identifier des probl\u00e8mes de configuration TLS ou des comportements suspects, sans n\u00e9cessiter de d\u00e9chiffrement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wireshark-peut-il-capturer-le-trafic-wi-fi\">Wireshark peut-il capturer le trafic Wi-Fi ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Oui, sous deux conditions. Votre adaptateur Wi-Fi doit supporter le mode moniteur (diff\u00e9rent du mode promiscuous utilis\u00e9 sur Ethernet). Sous Linux, activez-le avec <code>sudo iw dev wlan0 set type monitor<\/code> puis <code>sudo ip link set wlan0 up<\/code>. Sous Windows, Npcap supporte le mode moniteur sur certains adaptateurs. Pour d\u00e9chiffrer le trafic WPA2, vous avez besoin de la passphrase Wi-Fi et du EAPOL handshake enregistr\u00e9 dans la capture (configurez la cl\u00e9 dans <strong>\u00c9dition &gt; Pr\u00e9f\u00e9rences &gt; Protocoles &gt; IEEE 802.11<\/strong>).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"quelles-certifications-incluent-wireshark-dans-leur-programme\">Quelles certifications incluent Wireshark dans leur programme ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Wireshark figure dans le programme de nombreuses certifications cybers\u00e9curit\u00e9 et r\u00e9seau en 2026 : CompTIA Network+, CompTIA Security+, CompTIA CySA+, CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional), SANS GCIA (GIAC Certified Intrusion Analyst, sp\u00e9cialement ax\u00e9e sur l&#8217;analyse r\u00e9seau), et eJPT (eLearnSecurity Junior Penetration Tester). La ma\u00eetrise de Wireshark est consid\u00e9r\u00e9e comme une comp\u00e9tence fondamentale pour tout professionnel de la s\u00e9curit\u00e9 r\u00e9seau.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"tshark-est-il-inclus-dans-linstallation-wireshark\">TShark est-il inclus dans l&#8217;installation Wireshark ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Sur Windows et macOS, TShark est inclus dans l&#8217;installateur Wireshark standard. Sur Linux, le paquet est souvent s\u00e9par\u00e9 : <code>sudo apt install tshark<\/code> ou <code>sudo dnf install wireshark-cli<\/code>. TShark partage exactement les m\u00eames dissecteurs de protocoles et le m\u00eame moteur de filtres que Wireshark GUI, donc tout filtre que vous ma\u00eetrisez dans Wireshark fonctionne identiquement dans TShark avec l&#8217;option <code>-Y<\/code>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"comment-reduire-la-taille-dun-gros-fichier-pcap-avant-partage\">Comment r\u00e9duire la taille d&#8217;un gros fichier PCAP avant partage ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Trois outils inclus avec Wireshark permettent de manipuler les fichiers PCAP sans les ouvrir dans l&#8217;interface graphique. <code>editcap<\/code> filtre, tronque et divise les captures (<code>editcap -i 60 big.pcapng slice_%d.pcapng<\/code> divise en tranches de 60 secondes). <code>mergecap<\/code> fusionne plusieurs captures. <code>capinfos<\/code> affiche les statistiques d&#8217;un fichier PCAP sans l&#8217;ouvrir. Pour une compression suppl\u00e9mentaire, les fichiers PCAPNG se compressent tr\u00e8s bien avec <code>gzip<\/code> ou <code>zstd<\/code> (ratio de compression souvent sup\u00e9rieur \u00e0 10:1 sur du trafic HTTP).<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wireshark est l&#8217;analyseur de protocoles r\u00e9seau le plus utilis\u00e9 au monde. Disponible gratuitement sous licence GNU GPLv2, il permet de capturer et d&#8217;inspecter chaque paquet qui circule sur un r\u00e9seau,\u2026<\/p>\n","protected":false},"author":4,"featured_media":231,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10,3],"tags":[],"class_list":["post-230","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-10","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/230","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/comments?post=230"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/230\/revisions"}],"predecessor-version":[{"id":232,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/230\/revisions\/232"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/media\/231"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/media?parent=230"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/categories?post=230"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/tags?post=230"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}