Installer WireShark sur Mac OS X

45mm – f/6.7 – 1/90s – Noir & Blanc « Soft skin » sous Silver Efex Pro.

Alors aujourd’hui nous allons faire en sorte d’installer WireShark (anciennement Ethereal) sur Mac OS X. WireShark est un logiciel libre d’analyse de protocole (ou « packet sniffer »), utilisé dans le dépannage et l’analyse de réseaux informatiques, le développement de protocoles, l’éducation et la rétro-ingénierie, mais aussi le piratage. Wireshark est multiplate-forme, reconnait 759 protocoles et fonctionne sous Windows, Mac OS X, Linux, Solaris et FreeBSD. Bon c’est la définition Wikipedia légèrement remaniée pour mon introduction. De toutes façons je ne compte pas rentrer dans les détails puisque tout ce qu’il faut savoir est disponible dans le wiki et sur le site officiel : wireshark.org. Ce n’est pas un logiciel qui s’installe très facilement d’où ce petit billet : s’il y avait juste à faire un glisser-déposer je m’en serais bien passé. Go !

Password Sniffing with Wireshark by Laura Chappell.

Installation en trois parties…

La première partie est identique pour les utilisateurs de Mac OS X Leopard et Mac OS X Snow Leopard. La seconde partie n’est destinée qu’aux utilisateurs de Snow Leopard. La troisième et dernière partie reste facultative : à vous de voir.

Leopard / Snow Leopard… même combat

Le faire fonctionner correctement n’a rien d’évident et a demandé un certain temps.

1 – Télécharger le DMG à cette adresse et décompression.

2 – Déplacer l’application Wireshark.app dans le répertoire /Applications/

3 – Déplacer le répertoire /Utilities/ sur le bureau

4 – Maintenant il va falloir copier tous les exécutables du répertoire /Utilities/Command Line/ dans le répertoire like /usr/local/bin/

Moi j’ai ouvert le Terminal et hop :

View Code BASH

1
2
3
4
5
6
7
8

~ NightAngel$ su NightAngel
Password:
bash-3.2$ su
Password:
sh-3.2#  mv /Users/NightAngel/Desktop/Utilities/Command\ Line/ /usr/local/bin/
sh-3.2# cd /usr/local/bin/Command\ Line/
sh-3.2# mv * ../
sh-3.2# rm -r /usr/local/bin/Command\ Line/

4 – Maintenant, tout ce qui est dans le répertoire /dev/bpf * doit être lisible et modifiable par le groupe admin afin de lancer Wireshark. Il va falloir définir ces autorisations lors du démarrage du système. Le fichier « Read me first.rtf » qui se trouve dans le DMG explique succinctement tout cela :

The Utilties/ChmodBPF folder [on the DMG], contains the ChmodBPF startup item from the libpcap distribution. This can be used to set the permissions of /dev/bpf* when your system starts up. See Utilties/ChmodBPF/README.macosx for more details

Il faut copier tout le répertoire /ChmodBPF/ dans le répertoire /Library/StartupItems. Vous pouvez glisser-déposer le répertoire /ChmodBPF/ dans /StartupItems/ mais moi j’ai continué avec le Terminal (Mode Warrior)…

View Code BASH

1

sh-3.2#  mv /Users/NightAngel/Desktop/Utilities/ChmodBPF/ /Library/StartupItems/

5 – A cet instant je vous conseille de redémarrer et de lancer l’application pour voir ce qui se passe. Théoriquement l’application devrait vous balancer une erreur un peu comme ça :

Si tel est le cas, rien de dramatique ! Dans Wireshark : Menu « Edit » -> « Preferences » -> menu « Name Resolution » -> « SMI (MIB and PIB) paths » -> bouton « Edit » -> bouton « New » et entrer :

/usr/share/snmp/mibs/

Vous appliquez les modifications (Apply/OK), quittez les préférences, redémarrez Wireshark et normalement il n’y a plus d’erreur

Uniquement pour les utilisateurs de Snow Leopard

Sous Mac OS X 10.6 (Snow Leopard), les permissions des fichiers ChmodBPF ont besoin d’être modifiées. Alors, lancez le terminal et hop :

View Code BASH

1
2

cd /Library/StartupItems
sudo chown -R root:wheel ChmodBPF

Etape facultative…

Par contre, si vous ne voyez pas toutes les interfaces disponibles, c’est que vous n’êtes probablement pas identifié en tant qu’admin. Si vous envisagez d’utiliser Wireshark comme « simple utilisateur » (non admin) dans l’avenir, il faudra donc faire une autre modification. En gros, le ChmodBPF au démarrage installé plus tôt (qui change les droits sur /dev/bpf*) ne fonctionne que pour les utilisateurs du groupe admin. Il va donc au moins falloir permettre à l’utilisateur que vous utilisez de pouvoir lire /dev/bpf *.

1 – Avec le terminal (vi /Library/StartupItems/ChmodBPF/ChmodBPF) ou avec un éditeur de texte, ouvrir le script ChmodBPF situé dans /Library/StartupItems/ChmodBPF/ChmodBPF

2 – Ajouter la ligne chown NightAngel:admin /dev/bpf* après les lignes chgrp admin /dev/bpf* et chmod g+rw /dev/bpf* déjà écrites dans le fichier…

View Code BASH

1
2
3
4

         chgrp admin /dev/bpf*
         chmod g+rw /dev/bpf*
         chown NightAngel:admin /dev/bpf*
 }

Il faut évidemment remplacer « NightAngel » par le compte utilisateur depuis lequel sera lancé WireShark.

3 – Enregistrer les modifications et fermer.

It’s unbelievable, it works ! (in theory)

Après tout ça vous devriez pouvoir savoir tout ce qui se passe sur votre réseau. Une petite capture ?

PS : Je viens juste de retrouver mon permis alors je risque de disparaitre quelques jours au sommet du Vercors !