L’épreuve contient deux indices :
- son titre “Petites Notes” ;
- la mention de bien connaître le format PCAPng.
On s’attend donc à quelque chose de spécial dans le fichier de capture réseau.
On l’ouvre dans Wireshark et on commence à explorer les trames. On ne rend assez vite compte que c’est du trafic légitime habituel, sûrement un Firefox qui s’ouvre sur le site de l’ANSSI. À première vu il n’y a rien de spécial dans les trames.
En explorant l’interface de Wireshark on se rend compte de l’existence du menu “Edit > Packet Comments” et/ou du compteur “Comments: 6” en bas à droite. Il semble donc y avoir des commentaires annotés sur les paquets. Une recherche rapide sur stackoverflow révèle que nous pouvons filtrer les trames contenant des commentaires avec le filtre “frame.comment”. On peut alors sélectionner chaque trame et lire le commentaire dans la section “Packet comments” dans la dissection de la trame.
Nous pouvons aussi ajouter une colonne frame.comment pour rapidement lire les commentaires.
Le flag est donc ECSC{cShle5dOKYBfjLNzT}.