Pour les articles homonymes, voir Mode moniteur (homonymie).

Le mode moniteur (aussi appelé Radio Frequency Monitoring, RF Monitor, rfmon, RFMON, Air Monitor, Network Monitor, NetMon, ou encore surveillance RF) permet à un ordinateur équipé d'une carte réseau Wi-Fi d'écouter tout le trafic d'un réseau sans fil. À la différence du mode promiscuous, qui est aussi utilisé pour sniffer un réseau, le mode moniteur permet aux paquets d'être capturés sans avoir besoin de s'enregistrer sur un point d'accès (AP) ou réseau ad hoc. Le mode moniteur n'existe que sur les réseaux sans fil, tandis que le mode promiscuous peut être utilisé à la fois sur les réseaux filaires et sans fil.

Le mode moniteur est l'un des quatre modes dans lesquels une carte sans fil 802.11 peut fonctionner :

• infrastructure (managed), pour le client/la station communiquant à travers un point d'accès ;
• ad hoc, point à point ;
• maître (master), c'est-à-dire se comportant comme un point d'accès ;
• moniteur (monitor).

Le mode moniteur peut être utilisé à des fins malveillantes, comme collecter du trafic afin de casser une clé WEP pour pouvoir ensuite se connecter à un point d'accès.

Des logiciels comme KisMAC ou Kismet, en combinaison avec des analyseurs de protocoles comme Wireshark ou tcpdump apportent une interface utilisateur pour faire de la surveillance passive de réseau sans fil.

Mais le mode moniteur est également employé à d'autres fins comme :

• géolocalisation de clients (PC ou téléphones Wi-Fi) par triangulation à partir des positions connues des hotspots,
• détection d'attaques (IDS),
• détection de l'utilisation de packets sniffers actifs,
• détection de points d'accès non autorisés.

Dans les installations professionnelles, des points d'accès sont ainsi prévus et configurés pour être en permanence en mode moniteur. On ne parle alors plus d'AP (Access Point) mais d'AM (Access Monitoring). Leur installation et surtout la surveillance quotidienne associée participent à la sécurité du réseau Wi-Fi.

Normalement une carte Wi-Fi ne peut plus transmettre de données lorsqu'elle est en mode moniteur, et est restreinte à un seul canal. Ceci dépend du pilote utilisé. De même, une carte Wi-Fi en mode moniteur ne vérifie plus l'intégrité des paquets reçus (CRC), et peut donc laisser passer des paquets corrompus.

Quelques modèles de points d'accès permettent maintenant un fonctionnement à la fois en mode maître et moniteur^[1].

Le meilleur moyen de passer en mode moniteur est d'utiliser Linux^[2] car la gestion des interfaces réseau le permet nativement et c'est sous ce système d'exploitation que l'on retrouve le plus de pilotes le permettant. FreeBSD, NetBSD, OpenBSD, et DragonFly BSD permettent également d'avoir un bon support pour ce mode.

En septembre 2012, une équipe de développeurs a modifié les pilotes de certains smartphones sous Android (Samsung Galaxy S2 et Google Nexus One) pour ajouter le mode moniteur^[3].

L'interface de programmation NDIS n'apporte pas la possibilité de passer en mode moniteur sous Windows. Seuls quelques rares matériels le permettent car ils ont des pilotes spécifiquement développés pour cela. Mais à partir de Microsoft Windows Vista (NDIS version 6^[4]), cela devient possible.

• Analyseur de paquets
• Promiscuous mode
• Comparaison des pilotes sans fil à source ouverte

• (en) « RFMON – Radio Frequency Monitoring, Monitor Mode » (2008)
• [PDF] Passeport pour des réseaux Wi-Fi hautement sécurisés et administrables (2004)

• Portail de l’informatique
• Portail des télécommunications