You are currently viewing Wireshark : Tutoriel Complet pour Débutants BTS SIO (2026)

Wireshark : Tutoriel Complet pour Débutants BTS SIO (2026)

Niveau : Débutant

Sommaire

  1. Présentation de Wireshark et cas d’utilisation
  2. Installation de Wireshark sur Windows, macOS et Linux
  3. Première capture : comprendre l’interface
  4. Filtres essentiels : le cœur de l’analyse
  5. Cas pratiques BTS SIO avec Wireshark
  6. Fonctionnalités avancées utiles
  7. Wireshark en contexte cybersécurité
  8. Quiz : quel filtre Wireshark utiliser ?
  9. Conclusion

Wireshark est l’analyseur de protocoles réseau le plus utilisé au monde. Gratuit et open source, il permet de capturer et d’examiner en temps réel l’ensemble du trafic réseau d’une interface. Pour les étudiants en BTS SIO, c’est un outil indispensable : il permet de comprendre concrètement comment fonctionnent les protocoles TCP/IP, de diagnostiquer des problèmes réseau et de détecter des anomalies de sécurité.

Ce tutoriel vous guide de l’installation à l’analyse de captures réelles, en passant par les filtres essentiels et des cas pratiques adaptés au programme du BTS SIO. Aucune connaissance préalable en analyse réseau n’est requise ; seules des bases en réseaux informatiques sont recommandées.

En bref

  • Vert clair : trafic HTTP
  • Bleu clair : trafic DNS
  • Gris/Noir : paquets TCP (SYN, ACK, FIN)
  • Rouge : erreurs TCP (retransmissions, RST)
  • Jaune : trafic avec avertissement
  • Violet clair : trafic ICMP (ping)

Présentation de Wireshark et cas d’utilisation

Wireshark (anciennement Ethereal) a été créé en 1998 par Gerald Combs. Aujourd’hui maintenu par la Wireshark Foundation, il est téléchargé plus de 2 millions de fois par trimestre. C’est l’outil de référence pour les administrateurs réseau, les experts en cybersécurité et les développeurs qui ont besoin d’observer le trafic réseau.

Pourquoi utiliser Wireshark ?

Cas d’utilisation Description Profil concerné
Diagnostic réseau Identifier la cause d’une lenteur, d’une coupure ou d’un timeout Administrateur réseau
Analyse de protocoles Comprendre le fonctionnement de TCP, DNS, HTTP, DHCP en situation réelle Étudiant BTS SIO
Détection d’anomalies Repérer du trafic suspect, des scans de ports, du trafic non autorisé Analyste cybersécurité
Débogage applicatif Vérifier les échanges entre client et serveur (API REST, websockets) Développeur
Audit de conformité Vérifier que les communications sont chiffrées (TLS), pas de fuite de données RSSI, auditeur
Formation et certification Préparer CompTIA Security+, CCNA, BTS SIO Étudiant, candidat certif

Wireshark dans le BTS SIO

L’analyse de trames réseau fait partie intégrante du référentiel BTS SIO, en particulier pour l’option SISR. Wireshark permet de valider concrètement les connaissances théoriques sur les modèles OSI et TCP/IP. Lors des épreuves pratiques, il n’est pas rare qu’on vous demande d’analyser une capture pour identifier un problème ou répondre à des questions sur les protocoles.

Wireshark est un outil d’analyse passive : il capture le trafic de votre propre interface réseau. Son utilisation est légale sur votre propre réseau. En revanche, capturer le trafic d’un réseau tiers sans autorisation est illégal (articles 323-1 et suivants du Code pénal). Utilisez-le uniquement dans un cadre autorisé : votre lab, votre réseau personnel ou avec une autorisation écrite.
La capture de trafic réseau nécessite un accès à l'interface réseau, ici un poste connecté directement au switch managea
La capture de trafic réseau nécessite un accès à l’interface réseau, ici un poste connecté directement au switch manageable.

Installation de Wireshark sur Windows, macOS et Linux

L’installation est simple et rapide sur les trois systèmes d’exploitation principaux. Comptez environ 5 minutes.

Installation sur Windows

  1. Téléchargez l’installateur depuis wireshark.org/download.html
  2. Lancez l’exécutable et suivez l’assistant d’installation
  3. Acceptez l’installation de Npcap (pilote de capture réseau) lorsque proposé. Cochez « Install Npcap in WinPcap API-compatible mode » pour la compatibilité
  4. Terminez l’installation et lancez Wireshark

Installation sur Ubuntu/Debian

# Installation via apt
sudo apt update
sudo apt install -y wireshark

# Autoriser la capture sans être root
sudo dpkg-reconfigure wireshark-common
# Répondre "Oui" à la question sur le groupe wireshark

# Ajouter votre utilisateur au groupe wireshark
sudo usermod -aG wireshark $USER

# Déconnectez-vous et reconnectez-vous pour appliquer

Installation sur macOS

# Via Homebrew
brew install --cask wireshark

Ou téléchargez le fichier .dmg depuis le site officiel et glissez l’application dans le dossier Applications.

Vérification de l’installation

Au lancement, Wireshark affiche la liste des interfaces réseau disponibles avec un graphique en temps réel de l’activité sur chacune. Si vous voyez des interfaces mais pas de graphique, vérifiez que vous avez les droits de capture (groupe wireshark sous Linux, exécution en tant qu’administrateur sous Windows).

Première capture : comprendre l’interface

Lancez votre première capture pour vous familiariser avec l’interface de Wireshark. C’est en pratiquant que les concepts deviennent concrets.

Lancer une capture

  1. Sélectionnez l’interface réseau active (celle qui montre de l’activité dans le graphique, généralement « Ethernet » ou « Wi-Fi »)
  2. Double-cliquez sur l’interface ou cliquez sur le bouton requin bleu (Start capturing packets)
  3. Le trafic apparaît en temps réel dans la fenêtre principale
  4. Ouvrez un navigateur et accédez à un site web pour générer du trafic
  5. Revenez dans Wireshark et cliquez sur le bouton carré rouge pour arrêter la capture

Les trois volets de l’interface

L’interface de Wireshark se divise en trois zones distinctes :

Volet Position Contenu Utilité
Packet List Haut Liste chronologique de tous les paquets capturés Vue d’ensemble du trafic, tri et sélection
Packet Détails Milieu Décomposition couche par couche du paquet sélectionné Analyse détaillée selon le modèle OSI
Packet Bytes Bas Données brutes en hexadécimal et ASCII Vérification des données transmises

Code couleur des paquets

Wireshark utilisé un code couleur pour faciliter l’identification visuelle du trafic :

  • Vert clair : trafic HTTP
  • Bleu clair : trafic DNS
  • Gris/Noir : paquets TCP (SYN, ACK, FIN)
  • Rouge : erreurs TCP (retransmissions, RST)
  • Jaune : trafic avec avertissement
  • Violet clair : trafic ICMP (ping)

Vous pouvez personnaliser ces couleurs dans View > Coloring Rules.

Analyser un paquet TCP en détail

Cliquez sur un paquet TCP dans la liste. Le volet Packet Détails montre la décomposition couche par couche :

  1. Frame : informations de la trame (numéro, taille, horodatage)
  2. Ethernet II : couche liaison (adresses MAC source et destination)
  3. Internet Protocol Version 4 : couche réseau (adresses IP, TTL, protocole)
  4. Transmission Control Protocol : couche transport (ports source/destination, flags SYN/ACK/FIN, numéros de séquence)
  5. Données applicatives : contenu HTTP, DNS, etc. selon le protocole

Cette décomposition correspond directement au modèle TCP/IP étudié en cours de réseaux. C’est la meilleure façon de rendre concret le fonctionnement des couches réseau.

L'analyse de captures réseau est un exercice pratique incontournable dans la formation BTS SIO.
L’analyse de captures réseau est un exercice pratique incontournable dans la formation BTS SIO.

Filtres essentiels : le cœur de l’analyse

Wireshark proposé deux types de filtres qu’il est essentiel de distinguer : les filtres de capture et les filtres d’affichage. Les filtres d’affichage sont ceux que vous utiliserez le plus souvent.

Filtres de capture vs filtres d’affichage

Caractéristique Filtre de capture Filtre d’affichage
Quand s’applique-t-il ? Avant la capture (BPF syntax) Après la capture
Syntaxe BPF (Berkeley Packet Filter) Syntaxe Wireshark native
Exemple host 192.168.1.1 ip.addr == 192.168.1.1
Réversible ? Non (paquets non capturés sont perdus) Oui (on peut changer le filtre)
Usage principal Limiter le volume capturé sur un réseau très actif Isoler le trafic pertinent pour l’analyse

Filtres d’affichage essentiels par protocole

Voici les filtres que tout analyste réseau doit connaître. Saisissez-les dans la barre de filtre verte en haut de la fenêtre Wireshark.

Filtre Description Cas d’utilisation
dns Affiche uniquement le trafic DNS Vérifier les résolutions de noms, détecter du DNS tunneling
http Trafic HTTP non chiffré Analyser des requêtes web, voir les headers et le contenu
tls Trafic TLS/SSL Vérifier que les communications sont bien chiffrées
tcp Tout le trafic TCP Analyse des connexions, handshakes, retransmissions
udp Tout le trafic UDP DNS, DHCP, streaming, VoIP
icmp Trafic ICMP (ping, traceroute) Diagnostic de connectivité
arp Trafic ARP Résolution d’adresses MAC, détection d’ARP spoofing
dhcp Trafic DHCP Observer l’attribution d’adresses IP (DORA)

Filtres d’affichage par adresse et port

Filtre Description
ip.addr == 192.168.1.1 Tout le trafic impliquant cette IP (source ou destination)
ip.src == 192.168.1.1 Trafic dont la source est cette IP
ip.dst == 10.0.0.1 Trafic à destination de cette IP
tcp.port == 80 Trafic TCP sur le port 80 (HTTP)
tcp.port == 443 Trafic TCP sur le port 443 (HTTPS)
tcp.flags.syn == 1 Paquets SYN (début de connexion TCP)
tcp.flags.rst == 1 Paquets RST (connexion refusée ou interrompue)
eth.addr == aa:bb:cc:dd:ee:ff Trafic par adresse MAC

Combinaison de filtres

Les opérateurs logiques permettent de combiner les filtres pour des requêtes précises :

# Trafic DNS depuis une IP spécifique
dns && ip.src == 192.168.1.100

# Trafic HTTP ou HTTPS vers un serveur
(http || tls) && ip.dst == 93.184.216.34

# Trafic TCP avec retransmissions (signe de problème réseau)
tcp.analysis.retransmission

# Exclure le trafic DNS et ARP (focus sur le reste)
!dns && !arp

# Trafic HTTP contenant un mot clé dans l'URL
http.request.uri contains "login"

# Paquets de plus de 1000 octets
frame.len > 1000
Utilisez l’autocomplétion de Wireshark : commencez à taper un filtre et Wireshark proposé les options disponibles. Si le fond de la barre de filtre est vert, la syntaxe est correcte. Si elle est rouge, il y à une erreur.

Cas pratiques BTS SIO avec Wireshark

Voici quatre exercices pratiques que vous pouvez réaliser pour mettre en application vos connaissances. Chaque exercice est réalisable sur votre propre poste ou dans un lab virtuel.

Exercice 1 : Observer un handshake TCP (three-way handshake)

Le handshake TCP en trois étapes (SYN, SYN-ACK, ACK) est un concept fondamental du BTS SIO.

  1. Lancez une capture sur votre interface réseau
  2. Ouvrez un terminal et exécutez : curl http://example.com
  3. Arrêtez la capture
  4. Appliquez le filtre : tcp.flags.syn == 1 && ip.dst == 93.184.216.34
  5. Identifiez les trois paquets du handshake : SYN (client → serveur), SYN-ACK (serveur → client), ACK (client → serveur)
  6. Observez les numéros de séquence (Sequence number) et d’acquittement (Acknowledgment number)

Exercice 2 : Analyser une résolution DNS

  1. Lancez une capture avec le filtre d’affichage dns
  2. Dans un terminal : nslookup www.google.com
  3. Observez la requête DNS (Standard query A www.google.com) et la réponse (Standard query response)
  4. Notez le type de requête (A pour IPv4, AAAA pour IPv6), le serveur DNS interrogé et le TTL de la réponse

Exercice 3 : Détecter du trafic HTTP non chiffré

  1. Lancez une capture
  2. Accédez à un site en HTTP (non HTTPS), par exemple http://neverssl.com
  3. Filtrez : http
  4. Cliquez sur une requête GET et observez dans le volet Packet Détails : l’URL complète, les headers (User-Agent, Accept, Host), et le contenu de la réponse HTML en clair
  5. Comparez avec une connexion HTTPS : le contenu est chiffré, seul le handshake TLS est visible

Cet exercice illustre parfaitement pourquoi le chiffrement HTTPS est essentiel. Voir les données transiter en clair marque les esprits bien plus qu’un cours théorique. Approfondissez ce sujet avec notre introduction à la cybersécurité.

Exercice 4 : Observer le processus DHCP (DORA)

  1. Lancez une capture avec le filtre dhcp
  2. Renouvelez votre bail DHCP : sudo dhclient -r && sudo dhclient (Linux) ou ipconfig /release && ipconfig /renew (Windows)
  3. Identifiez les quatre messages DORA : Discover (client broadcast), Offer (serveur proposé une IP), Request (client accepte), Acknowledge (serveur confirmé)
  4. Notez l’adresse IP attribuée, le masque, la passerelle et le bail (lease time)

Fonctionnalités avancées utiles

Au-delà de la capture basique, Wireshark offre des fonctionnalités qui simplifient l’analyse de trafic complexe.

Suivre un flux TCP (Follow TCP Stream)

Faites un clic droit sur un paquet TCP > Follow > TCP Stream. Wireshark reconstitue l’échange complet entre le client et le serveur, affiché en texte lisible. C’est particulièrement utile pour lire des échanges HTTP, SMTP ou FTP en clair.

Statistiques et graphiques

  • Statistics > Conversations : liste toutes les communications IP et TCP, triées par volume de données
  • Statistics > Protocol Hierarchy : répartition du trafic par protocole (pourcentage de DNS, HTTP, TLS, etc.)
  • Statistics > I/O Graphs : graphique temporel du débit réseau avec possibilité de superposer des filtres
  • Statistics > Endpoints : liste toutes les adresses IP avec le volume de données échangé

Exporter des objets

Pour les captures HTTP non chiffrées, Wireshark peut extraire les fichiers transférés : File > Export Objects > HTTP. Vous verrez la liste des fichiers (images, HTML, JavaScript) téléchargés pendant la capture. Cela illustre les risques de sécurité du HTTP non chiffré.

Profils de configuration

Créez des profils personnalisés pour différents types d’analyse : un profil « Réseau » avec les colonnes IP source/destination et les filtres courants, un profil « Cybersécurité » avec les colonnes adaptées à la détection d’anomalies, un profil « Développement » focalisé sur les couches applicatives.

Wireshark en contexte cybersécurité

Wireshark est un outil fondamental en cybersécurité. Voici les analyses les plus courantes dans ce contexte.

Détection de scans de ports

Un scan de ports Nmap génère un trafic caractéristique visible dans Wireshark :

# Filtre pour détecter un scan SYN (demi-ouvert)
tcp.flags.syn == 1 && tcp.flags.ack == 0 && tcp.window_size <= 1024

# Nombreux paquets RST en réponse (ports fermés)
tcp.flags.rst == 1

Détection d'ARP spoofing

# Filtre pour les réponses ARP multiples
arp.opcode == 2

# Vérifiez si plusieurs réponses ARP associent des adresses MAC différentes à la même IP

Identification de trafic suspect

  • DNS tunneling : requêtes DNS anormalement longues ou fréquentes (dns && dns.qry.name.len > 50)
  • Beaconing : connexions sortantes régulières vers la même IP à intervalles fixes
  • Exfiltration : volumes de données anormalement élevés vers une IP externe

Pour approfondir ces aspects, consultez notre guide sur les métiers de la cybersécurité et la certification CompTIA Security+, qui couvre l'analyse de trafic réseau parmi ses objectifs.

Quiz : quel filtre Wireshark utiliser ?

Conclusion

Wireshark transforme les concepts abstraits du modèle TCP/IP en observations concrètes et vérifiables. C'est un outil que vous utiliserez tout au long de votre carrière, que vous choisissiez l'administration réseau, la cybersécurité où le développement. En maîtrisant les filtres essentiels et les cas pratiques présentés dans ce guide, vous disposez d'une base solide pour l'analyse de trafic réseau.

Pour compléter votre formation, explorez notre introduction à la cybersécurité, notre guide sur les métiers de la cybersécurité en France et la certification CompTIA Security+. La documentation officielle Wireshark et les ressources Cisco Networking Academy offrent des exercices supplémentaires de qualité.

À retenir

  • Npcap : (pilote de capture réseau) lorsque proposé. Cochez "Install Npcap in WinPcap API-compatible mode" pour la compatibilité
  • Gris/Noir : paquets TCP (SYN, ACK, FIN)
  • Violet clair : trafic ICMP (ping)
  • Internet Protocol Version 4 : couche réseau (adresses IP, TTL, protocole)
  • Statistics > Conversations : liste toutes les communications IP et TCP, triées par volume de données

Questions fréquentes


Wireshark est-il gratuit ?

Oui, Wireshark est un logiciel open source entièrement gratuit, distribué sous licence GPL v2. Il est disponible pour Windows, macOS et Linux sur wireshark.org. Il n'existe aucune version payante ou premium.

Est-ce légal d'utiliser Wireshark ?

L'utilisation de Wireshark est légale sur votre propre réseau ou avec une autorisation explicite de l'administrateur. En revanche, capturer le trafic d'un réseau tiers sans autorisation constitue une infraction pénale (articles 323-1 à 323-7 du Code pénal français). En contexte professionnel ou académique, assurez-vous d'avoir les autorisations nécessaires.

Wireshark peut-il déchiffrer le trafic HTTPS ?

Par défaut, non. Le trafic HTTPS est chiffré par TLS et Wireshark ne voit que les métadonnées (IP, ports, taille). Cependant, il est possible de déchiffrer le trafic en fournissant à Wireshark les clés de session TLS (via la variable d'environnement SSLKEYLOGFILE) où la clé privée du serveur dans certains cas.

Quelle est la différence entre Wireshark et tcpdump ?

tcpdump est un outil en ligne de commande léger, idéal pour capturer du trafic sur des serveurs sans interface graphique. Wireshark offre une interface graphique riche, des filtres avancés, des statistiques et une analyse approfondie des protocoles. Les deux utilisent le format pcap et sont complémentaires : on capture souvent avec tcpdump et on analyse ensuite avec Wireshark.

Comment capturer le trafic sur un réseau Wi-Fi ?

Sur votre propre connexion Wi-Fi, Wireshark capture normalement le trafic de votre interface sans fil. Pour capturer le trafic d'autres appareils du même réseau, il faut activer le mode monitor sur votre carte Wi-Fi (si elle le supporte) et utiliser un filtre de capture adapté. Sur Linux, utilisez airmon-ng pour passer en mode monitor.

Comment ouvrir un fichier .pcap dans Wireshark ?

Les fichiers .pcap et .pcapng sont les formats standards de capture réseau. Ouvrez-les directement avec File > Open dans Wireshark, ou double-cliquez sur le fichier si Wireshark est associé à l'extension. Vous pouvez également glisser-déposer le fichier dans la fenêtre Wireshark. De nombreux sites proposent des captures d'entraînement (Wireshark Wiki, Malware Traffic Analysis).

Lucie Moreau
Lucie Moreau

Formatrice IT indépendante depuis 2016, ancienne étudiante BTS SIO SLAM. 6 ans d'expérience en entreprise.

Lucie Moreau

Formatrice IT indépendante depuis 2016, ancienne étudiante BTS SIO SLAM. 6 ans d'expérience en entreprise.