Wireshark
Capture, filtres, analyse TCP/IP, TLS, dissecteurs, flux, dépannage et forensic.
Avant de démarrer, on fait un test technique de 1 min — micro, bruit, connexion. Si ton matériel ne convient pas, le test est remboursé intégralement.
Capture, filtres, analyse TCP/IP, TLS, dissecteurs, flux, dépannage et forensic.
Avant de démarrer, on fait un test technique de 1 min — micro, bruit, connexion. Si ton matériel ne convient pas, le test est remboursé intégralement.
Prouve que tu lis un pcap comme d'autres lisent un journal : passe l'oral Wireshark et décroche le badge qui transforme tes captures en crédibilité concrète.
Le badge Wireshark de Plume certifie ta capacité à capturer et analyser du trafic réseau réel — pas à cocher des cases théoriques. En 15 minutes, une IA spécialisée t'interroge sur tes captures BPF/display filters, ta maîtrise des Expert Infos TCP, ta méthode d'analyse forensic sur fichier pcap, et ta pratique du déchiffrement TLS 1.3 avec SSLKEYLOGFILE. Le résultat est un score de 0 à 100 accompagné d'un niveau Novice, Confirmé, Avancé ou Expert, produit par Claude Opus après lecture complète de la transcription.
Là où LinkedIn te permet d'écrire « Wireshark » dans tes compétences sans aucune vérification, ce badge documente ce que tu sais vraiment faire : distinguer un TCP zero window d'un dup ACK, construire un filtre display multi-couche comme `tcp.analysis.retransmission and ip.src != 10.0.0.0/8`, interpréter un stream TLS renegotiation ou piloter tshark en ligne de commande pour automatiser une analyse. L'oral s'appuie sur des scénarios tirés de situations réelles — dépannage d'une latence intermittente, investigation d'une exfiltration suspectée, forensic post-incident — et non sur des questions de culture générale.
Ce badge s'adresse aux ingénieurs réseau et systèmes qui veulent valoriser leur expertise terrain, aux analystes SOC et répondeurs IR qui utilisent Wireshark dans leurs investigations quotidiennes, aux pentesters qui analysent le trafic capturé pendant une mission, et aux consultants qui souhaitent afficher une preuve tangible de leur niveau lors d'un appel d'offres ou d'une mission en régie. Si tu ouvres Wireshark régulièrement et que tu n'as pas peur qu'on te demande pourquoi tu as choisi ce filtre BPF plutôt qu'un autre, ce badge est fait pour toi.
Voici les dimensions concrètes que l'IA examine pendant les 15 minutes d'oral.
Savoir rédiger des filtres Berkeley Packet Filter efficaces à la capture (`tcp port 443 and host 1.2.3.4`) et des display filters Wireshark avancés pour l'analyse post-capture, sans confondre leur syntaxe ni leur périmètre d'action.
Identifier et interpréter les indicateurs de performance TCP — retransmissions, dup ACKs, zero window, TCP previous segment not captured — via les Expert Infos et les statistiques de flux pour qualifier un problème de réseau ou applicatif.
Structurer une investigation à partir d'un fichier pcap brut : reconstitution de flux TCP/UDP, extraction d'objets (HTTP, SMB, FTP), corrélation temporelle et identification d'indicateurs de compromission ou d'exfiltration.
Configurer Wireshark pour déchiffrer du trafic TLS 1.3 via la variable d'environnement SSLKEYLOGFILE, comprendre les limites introduites par l'ESNI/ECH, et expliquer pourquoi la méthode RSA private key ne fonctionne plus avec PFS.
Utiliser tshark en CLI pour automatiser des analyses (`tshark -r file.pcap -T fields`), orchestrer la capture avec tcpdump sur des équipements distants, et articuler quand Zeek ou un collecteur NetFlow/IPFIX est plus adapté que Wireshark.
Écrire ou adapter un dissecteur Lua pour décoder un protocole propriétaire ou non reconnu, comprendre le cycle de vie d'un dissecteur dans l'API Wireshark et savoir le déboguer sans crasher la GUI.
Remonter à la cause racine d'un problème réseau difficile à reproduire : sélection des bonnes interfaces, horodatage précis, filtres adaptés à la recherche d'anomalies rares, et lecture des graphiques de débit et de fenêtre TCP.
Savoir reconnaître les limites de Wireshark (volume, temps réel, indexation) et argumenter le recours à un IDS/IPS, à Zeek, à des données de flux NetFlow/IPFIX ou à un SIEM selon le contexte opérationnel.
L'évaluation finale est faite par Claude (Anthropic) qui relit la transcription complète et applique cette grille de critères pondérés.
Connaissance des fonctionnalités core : filtres BPF et display, dissecteurs, statistiques (IO Graphs, Flow Graph, Conversation), coloration, Expert Infos. Capacité à nommer et utiliser les bons outils sans approximation.
Compréhension réelle des protocoles sous-jacents (TCP/IP, TLS, DNS, HTTP/2, QUIC) et capacité à interpréter les anomalies dans les paquets pour distinguer un problème réseau d'un problème applicatif.
Méthode structurée pour analyser un fichier pcap inconnu : priorisation, recherche d'IOC, extraction d'objets, reconstitution de sessions. Sens de la rigueur et traçabilité de l'analyse.
Capacité à situer Wireshark dans une chaîne d'outils réelle (tcpdump, tshark, Zeek, SIEM) et à expliquer des choix d'automatisation ou de délégation à d'autres outils selon les contraintes du contexte.
Capacité à expliquer des concepts complexes (PFS, ESNI, retransmission sélective) de façon précise et accessible, sans jargon inutile ni approximation, comme lors d'un debriefing post-incident avec une équipe.
Une session Plume tient en environ 20 minutes, du test technique à la délivrance du badge.
Avant le démarrage, Plume vérifie que ton micro et ta connexion fonctionnent correctement. Pas de Wireshark à ouvrir : l'oral est entièrement vocal, aucun partage d'écran n'est requis.
L'IA te demande de te présenter rapidement et d'évoquer ton usage le plus récent ou le plus complexe de Wireshark. C'est le moment de planter le décor : secteur, type de trafic, enjeux.
Le cœur de l'oral : l'IA enchaîne des questions ciblées sur tes filtres, ton analyse TCP, tes cas forensic, ton expérience TLS 1.3, tes dissecteurs Lua et ton outillage complémentaire. Les relances s'adaptent à tes réponses.
L'IA te présente un scénario opérationnel concret — suspicion d'exfiltration, latence inexpliquée, protocole inconnu — et te demande comment tu aborderais l'analyse et quel outil tu choisirais.
Claude Opus analyse la transcription complète et produit ton score de 0 à 100, ton niveau (Novice à Expert), un rapport détaillé point par point, et ton badge partageable. Tu reçois tout par e-mail.
Le score sur 100 se traduit en un niveau lisible d'un coup d'œil par un recruteur.
Tu ouvres Wireshark pour la première fois ou presque. Tu sais lancer une capture sur une interface et appliquer un filtre display simple comme `ip.addr == 192.168.1.1`, mais tu peines à interpréter les couleurs, les Expert Infos ou les statistiques de flux TCP.
Tu utilises Wireshark régulièrement pour dépanner des problèmes réseau courants. Tu distingues les filtres BPF des display filters, tu sais lire un TCP three-way handshake, identifier des retransmissions et extraire des objets HTTP. Tu n'es pas encore à l'aise avec TLS ou les dissecteurs avancés.
Tu maîtrises les filtres complexes, les Expert Infos, les IO Graphs et les statistiques de conversation. Tu as déjà déchiffré du trafic TLS avec SSLKEYLOGFILE, utilisé tshark en CLI et conduit des analyses forensic sur des pcaps inconnus. Tu intègres Wireshark dans une chaîne d'outils plus large.
Tu écris des dissecteurs Lua, tu gères des captures distribuées sur des équipements distants, tu analyses du trafic QUIC, tu comprends les subtilités de TLS 1.3 avec ESNI/ECH, et tu sais exactement quand Wireshark cède la place à Zeek, à un SIEM ou à de l'analyse de flux. Tu es la référence de ton équipe sur le sujet.
Pas besoin d'années d'expérience ou de diplôme pour passer le badge. Voici les profils pour qui il fait sens.
Tu passes tes journées à dépanner des incidents réseau, et Wireshark est ton couteau suisse. Le badge documente cette expertise souvent invisible sur un CV ou un profil LinkedIn, notamment pour décrocher des missions en régie ou des postes senior.
Tu utilises des pcaps dans tes investigations quotidiennes pour détecter des mouvements latéraux, des exfiltrations ou des C2. Ce badge certifie ta capacité à structurer une analyse forensic réseau et à en communiquer les conclusions.
Tu captures le trafic lors de tes missions pour analyser des protocoles, contourner des filtres ou valider des hypothèses. Le badge prouve que tu sais lire ce que tu génères, ce qui renforce ta crédibilité en debriefing client.
En réponse à un appel d'offres ou lors d'un entretien commercial, un badge Wireshark vérifié par IA pèse bien plus qu'une case cochée sur un CV. Il rassure le client sur ta capacité opérationnelle réelle.
Tu as pratiqué Wireshark en cours et en CTF mais tu n'as pas encore d'expérience pro à mettre en avant. Le badge te donne une preuve concrète de ton niveau technique pour tes premières candidatures.
Où et comment ton badge Wireshark va te servir au quotidien.
Tu postules à un poste d'analyste SOC niveau 2. Ton badge Wireshark Expert sur ton profil LinkedIn ou ton CV montre immédiatement au recruteur que tu sais analyser un pcap forensic, pas seulement lancer une capture.
Un client final demande des preuves de compétences réseau pour une mission de réponse à incident. Tu partages ton lien de badge public et son rapport détaillé : c'est une validation objective que tes concurrents n'ont probablement pas.
Tu viens de résoudre un problème de latence intermittente en identifiant des TCP zero window dus à un buffer trop petit côté serveur. Le badge confirme que tu sais faire ça, pas juste que tu connais le nom de l'outil.
Ton équipe soupçonne une exfiltration de données. Tu structures ton analyse pcap : tu filtres sur des destinations inhabituelles, tu reconstruis les flux, tu extrais les fichiers transférés. Le badge certifie cette capacité opérationnelle.
Tu passes le badge une première fois en Confirmé, tu travailles tes points faibles sur les dissecteurs et TLS 1.3, puis tu le repasses six mois plus tard. La progression est visible et partageable avec ton manager ou ton client.
Tu es lead technique dans une équipe SOC. Tu encourages tes analystes juniors à passer le badge pour identifier les lacunes collectives et prioriser les formations internes sur l'analyse réseau.
Quelques minutes pour vérifier que tu as bien tout ce qu'il faut.
À la fin de ta session, tu ne reçois pas juste un score : voici tout ce qui t'attend.
Tu reçois un score précis de 0 à 100 et ton niveau officiel — Novice, Confirmé, Avancé ou Expert — calculé par Claude Opus à partir de l'intégralité de ta transcription Wireshark.
Un rapport point par point commente tes forces et tes axes de progression sur chaque dimension évaluée : filtres, TCP, forensic, TLS, outillage. Utile pour savoir exactement quoi travailler ensuite.
L'enregistrement de ton oral reste accessible uniquement à toi. Tu peux le réécouter pour identifier ce que tu aurais pu formuler plus précisément sur tes analyses pcap ou tes choix de filtres.
Un lien public unique te permet de partager ton badge Wireshark sur LinkedIn, dans un CV, un profil GitHub ou une réponse à appel d'offres. Chaque visiteur voit ton score, ton niveau et la date de certification.
Découvre d'autres compétences proches que tu peux faire valider avec Plume.
15 minutes d'oral avec une IA, un badge partageable pour tes recruteurs.
Choisir ce badge · 19,99 €