La raison en est que le programme d'installation de Wireshark installe un LaunchDaemon (c'est-à-dire quelque chose qui s'exécute avec les privilèges de superutilisateur au démarrage) pour définir des autorisations spéciales afin de capturer les paquets réseau. Plus précisément, vous pouvez consulter le fichier /Library/LaunchDaemon/org.wireshark.ChmodBPF.plist pour voir ce qu'il fait et quand il est exécuté.
Comme la création de ces LaunchDaemons nécessite des privilèges de superutilisateur en soi, le programme d'installation de Wireshark exige que vous soyez un superutilisateur (c'est-à-dire que vous devez entrer un mot de passe d'utilisateur administrateur pour installer le logiciel).
Si vous regardez le script réel exécuté par le LaunchDaemon en /Library/Application Support/Wireshark/ChmodBPF/ChmodBPF vous verrez qu'il crée 256 entrées de périphériques /dev/bpf0 à /dev/bpf255 et définit que tous les membres du groupe access_bpf peuvent lire et écrire dans ces fichiers de périphériques.
Les groupes access_bpf sont en fait également créés par l'installateur de Wireshark. Cela nécessite également des privilèges de superutilisateur. Si vous ouvrez les Préférences Système et ensuite Utilisateurs et Groupes, vous pourrez déplier la partie "Groupes" de l'arbre et voir "access_bpf" y être listé. Vous pouvez alors ajouter/supprimer des utilisateurs de ce groupe pour donner ou retirer la permission de capturer des paquets réseau dans Wireshark.
