Capture de la poignée de main SSL avec tcpdump

By Flavien ROUX

Dans l’univers des communications sécurisées, capturer la poignée de main SSL avec tcpdump devient un réflexe incontournable pour diagnostiquer les connexions HTTPS défaillantes ou auditer les configurations TLS.

L’analyse de cette phase critique, réalisée avec tcpdump et parfois combinée à Wireshark, permet d’identifier les causes d’échecs de négociation, de valider la robustesse des certificats, ou encore de mesurer la performance des échanges sécurisés.

À retenir :

  • tcpdump permet de filtrer précisément les paquets liés au handshake SSL/TLS
  • La capture de la poignée de main SSL est essentielle pour auditer ou déboguer les connexions chiffrées
  • L’analyse des échanges peut être approfondie avec Wireshark pour des diagnostics plus visuels

Comprendre les étapes de la poignée de main SSL/TLS

“Visualiser les échanges cryptographiques permet d’en maîtriser les subtilités.”

Alain Tissier, formateur en cybersécurité

La poignée de main SSL/TLS représente une séquence structurée d’échanges entre un client et un serveur. Son but : établir une session chiffrée de manière sécurisée.

Processus d’initialisation

  • Client Hello : Le client propose ses capacités (version TLS, algorithmes).
  • Server Hello : Le serveur sélectionne les paramètres compatibles.
  • Échange de certificats : Le serveur transmet son certificat au client.
  • Key Exchange : Les clés de session sont établies.
  • Finished : Le tunnel sécurisé est prêt à être utilisé.
A lire également :  Comment corriger l'erreur 0x80070424 de Windows Update et Microsoft Store ?

Si une incompatibilité survient, la capture de la poignée de main SSL avec tcpdump mettra en évidence l’étape fautive.

Utiliser tcpdump pour capturer le trafic SSL

Commande de base

sudo tcpdump -i eth0 -w capture.pcap ‘tcp port 443’

Cette commande enregistre tout le trafic sur le port HTTPS. C’est le point de départ pour capturer la poignée de main SSL avec tcpdump.

Options essentielles à maîtriser

  • -i any : Toutes interfaces
  • -s 0 : Capture complète
  • -v, -vv : Verbosité accrue
  • -A ou -X : Contenu brut des paquets

Intégrer les bonnes options permet de collecter plus d’informations utiles lors de l’analyse ultérieure.

Filtrer les étapes précises de la poignée de main

“Le vrai pouvoir de tcpdump réside dans la finesse des filtres qu’il propose.”

Marc Renaud, chercheur en sécurité réseau

Capturer le message Client Hello

tcpdump « tcp port 443 and (tcp[((tcp & 0xf0) >>2)] = 0x16) && (tcp[((tcp & 0xf0) >>2)+5] = 0x01) » -w client-hello.pcap

Capturer le message Server Hello

tcpdump « tcp port 443 and (tcp[((tcp & 0xf0) >>2)+5] = 0x02) » -w server-hello.pcap

Cibler une version spécifique du protocole TLS

tcpdump « tcp port 443 and (tcp[((tcp & 0xf0) >>2)+9] = 0x03) && (tcp[((tcp & 0xf0) >>2)+10] = 0x03) » -w tls1.2.pcap

Ces filtres sont indispensables pour isoler des messages précis lors de la capture de la poignée de main SSL avec tcpdump.

Identifier les erreurs de connexion SSL

tcpdump « tcp port 443 and (tcp[((tcp & 0xf0) >>2)] = 0x15) » -w error.pcap

Ces messages signalent des alertes SSL, utiles pour tracer des défaillances dans le processus de handshake.

A lire également :  Comment supprimer les publicités sur votre téléphone Xiaomi

Analyser les captures avec Wireshark

“Wireshark, c’est tcpdump sous stéroïdes graphiques.”

Guillaume Delaunay, consultant sécurité
  • Ouvrir le fichier .pcap
  • Appliquer le filtre ssl.handshake
  • Inspecter les certificats
  • Activer l’analyse avec des clés SSL exportées

Associer tcpdump et Wireshark permet une visualisation claire et pédagogique du déroulement du handshake.

Tableau des filtres tcpdump pour le handshake SSL

Type de messageCode hexadécimalFiltre tcpdump associé
Client Hello0x01tcp[((tcp & 0xf0)>>2)+5] = 0x01
Server Hello0x02tcp[((tcp & 0xf0)>>2)+5] = 0x02
TLSv1.20x0303tcp[((tcp & 0xf0)>>2)+9]=0x03 && tcp[((tcp & 0xf0)>>2)+10]=0x03
Message d’erreur SSL0x15tcp[((tcp & 0xf0)>>2)] = 0x15

Cas pratiques : audit, débogage et formation

“Observer le protocole en action est la meilleure formation possible.”

Claire Fournier, professeure en cybersécurité
  • Audit de configuration TLS : Suites de chiffrement obsolètes, certificats auto-signés.
  • Débogage des erreurs HTTPS : Problèmes d’incompatibilité ou d’expiration de certificats.
  • Apprentissage technique : Analyse des extensions TLS, architecture du protocole.

La capture de la poignée de main SSL avec tcpdump s’inscrit dans un éventail d’usages allant du professionnel à l’éducatif.

Et vous, quelles techniques utilisez-vous pour capturer la poignée de main SSL avec tcpdump ? Partagez vos astuces ou vos difficultés en commentaires !