Alors que je m'amusais avec les RAW_SOCKET en implémentant un sniffer, je me demandais pourquoi les développeurs ne passaient pas en user normal après avoir placé la socket en mode promiscious (Qui nécessite les privilèges root ou CAP_NET_RAW).

Discutant un peu avec le développeur d'un sniffer, il n'a pas réussi à trouver d'excuse pour ne pas implémenter cette fonctionnalité, j'interprète ça comme "Parce que j'y avais pas pensé" :)

D'ailleurs, en cherchant un peu, une discussion à ce sujet a eu lieu sur la liste des développeurs de tcpdump, le patch a normalement été commité. Les personnes contre ce patch redoutaient que les admins mettent le bit Suid sur le binaire tcpdump, faudrait vraiment être un vainqueur pour faire ça :)
Espérons que les alertes de sécurité au sujet du sniffer le plus populaire ne seront plus aussi graves !