Test de Pénétration Réseau : Guide de Méthodologie 2026

Penetration Testing
12 min de lecture
Test de Pénétration Réseau : Guide de Méthodologie 2026
Sur cette page
  1. Qu'est-ce que le Test de Pénétration Réseau ?
  2. Test de Pénétration Réseau Interne vs Externe
  3. Méthodologie du Test de Pénétration Réseau
    1. Reconnaissance et Découverte des Hôtes
    2. Scan et Énumération des Services
    3. Exploitation des Services et Point d'Ancrage
  4. Attaques par Identifiants et Mouvement Latéral
  5. Vulnérabilités Courantes des Audits Réseau
  6. Outils Essentiels pour le Test de Pénétration Réseau
  7. Certifications en Test de Pénétration Réseau
  8. Considérations Légales et Éthiques
  9. Vos Prochaines Étapes

Le test de pénétration réseau consiste à attaquer l'infrastructure d'une entreprise comme le ferait un véritable intrus : scanner les ports ouverts, exploiter des services vulnérables, cracker les identifiants récupérés, et se déplacer d'une machine compromise à la suivante jusqu'à atteindre quelque chose d'important. C'est la branche la plus ancienne du test de pénétration, et celle qui transforme encore un simple ordinateur portable piégé par phishing en compromission totale du domaine. Ce guide couvre la méthodologie, les outils et les découvertes typiques des audits réseau internes et externes réels. Suivez le même flux de travail, du scan jusqu'à l'admin du domaine, dans le cours Network Penetration Testing de HackerDNA en lisant.

Si vous maîtrisez déjà les bases du test de pénétration, le test réseau est la spécialisation naturelle après les applications web. Il récompense la patience plutôt que l'ingéniosité : un testeur qui énumère méthodiquement chaque service sur chaque hôte bat celui qui se précipite sur Metasploit. Ce guide détaille les différences entre test interne et externe, la méthodologie utilisée en conditions réelles, les outils qui comptent, et les vulnérabilités présentes dans presque tous les réseaux internes.

En bref : Le test de pénétration réseau suit les étapes de reconnaissance, scan et énumération, exploitation de services, attaques par identifiants, et mouvement latéral vers la compromission du domaine. Nmap, Metasploit, Responder et un outil de cracking couvrent l'essentiel du travail. Des identifiants faibles et une confiance excessive dans les protocoles par défaut, plutôt que des failles zero-day, restent le moyen le plus courant d'atteindre l'administrateur de domaine.

Qu'est-ce que le Test de Pénétration Réseau ?

Le test de pénétration réseau est un audit de sécurité où un testeur attaque l'infrastructure d'une organisation (serveurs, postes de travail, pare-feux et Active Directory) pour trouver des failles exploitables et démontrer jusqu'où un attaquant pourrait s'introduire dans l'environnement. Contrairement au test d'applications web, centré sur une seule application, le test réseau évalue des dizaines voire des centaines d'hôtes et les relations de confiance qui les lient.

L'objectif n'est pas simplement de trouver un port ouvert exécutant un service vulnérable. Un test réseau mesure comment un point d'ancrage unique, par exemple un shell à faibles privilèges sur un poste, se transforme en accès administrateur de domaine. Ce chemin d'escalade compte davantage pour un RSSI que n'importe quelle découverte isolée, car il révèle le véritable rayon d'impact d'un seul ordinateur non patché ou d'un seul mot de passe réutilisé.

Le framework MITRE ATT&CK classe cette escalade dans sa propre catégorie de tactique. Le mouvement latéral (TA0008) couvre à lui seul neuf techniques distinctes, du pass-the-hash à l'exploitation de services distants, ce qui donne une idée du nombre de façons dont un testeur (ou un attaquant) peut pivoter une fois à l'intérieur d'un réseau. En pratique, la plupart des audits internes utilisent deux ou trois de ces techniques au maximum. La réutilisation d'identifiants et la confiance au niveau protocole font l'essentiel du travail ; les techniques exotiques sont rarement nécessaires.

Test de Pénétration Réseau Interne vs Externe

Tout audit de test de pénétration réseau appartient à l'une de ces deux catégories, et les hypothèses derrière chacune diffèrent suffisamment pour que les confondre gaspille le budget.

Le test de pénétration réseau externe évalue ce qu'un attaquant peut atteindre depuis internet sans accès préalable : pare-feux périmétriques, passerelles VPN, points d'accès RDP ou SSH exposés, et tout service publié par erreur sur une IP publique. Le périmètre est généralement une liste de plages d'IP publiques. Le modèle de menace réaliste est un attaquant opportuniste scannant l'ensemble d'internet à la recherche d'un service vulnérable spécifique, donc les tests externes consacrent un temps réel au niveau de patch et à la découverte de services exposés.

Le test de pénétration réseau interne suppose que l'attaquant dispose déjà d'un point d'ancrage : branché sur une prise ethernet en salle de réunion, connecté via un compte VPN compromis, ou exécuté comme charge utile d'un phishing réussi. C'est l'audit le plus riche en découvertes, car les réseaux internes sont bien moins durcis que le périmètre. Les tests internes se concentrent fortement sur Active Directory : chemins d'escalade de privilèges, mauvaises configurations Kerberos, et la confiance au niveau protocole qui permet à un poste compromis d'empoisonner le trafic de tout le sous-réseau.

En pratique, les organisations tirent davantage de valeur d'un test interne en premier. Les défenses périmétriques se sont énormément améliorées ces dix dernières années, mais l'hypothèse que "personne ne peut entrer" tant que le pare-feu tient est exactement celle qui transforme un employé piégé en compromission totale du domaine.

Méthodologie du Test de Pénétration Réseau

Un audit réseau suit une méthodologie constante, que le périmètre soit interne ou externe. Chaque étape alimente la suivante, et sauter l'énumération pour se précipiter sur un exploit trop tôt est la façon la plus courante dont les testeurs manquent la découverte qui compte réellement.

Reconnaissance et Découverte des Hôtes

Les audits internes commencent par la découverte des hôtes sur le sous-réseau connecté. Un scan ARP ou un ping sweep identifie les IP actives avant de perdre du temps à scanner des adresses mortes. Un rapide nmap -sn 10.10.10.0/24 ou arp-scan --localnet donne la liste des hôtes actifs en quelques secondes. Les audits externes commencent plutôt par de la reconnaissance passive : enregistrements WHOIS, journaux de transparence des certificats, et énumération DNS pour cartographier la surface d'attaque sans toucher directement la cible.

Scan et Énumération des Services

Une fois les hôtes actifs identifiés, Nmap détermine ce qui tourne sur chacun. Un scan TCP complet avec détection de version et scripts par défaut, nmap -sV -sC -p- target, prend plus de temps mais détecte les services sur des ports non standards qu'un scan des 1000 ports les plus courants manquerait. Notre aide-mémoire Nmap liste les combinaisons de flags à retenir pour chaque phase.

L'énumération va plus loin par service. Les partages SMB sont interrogés avec smbclient -L //target/ et enum4linux, révélant noms de partages, accès en session nulle, et parfois des noms d'utilisateurs directement. Les scripts SMB de Nmap 7.94 (smb-enum-shares, smb-os-discovery) automatisent une grande partie de ce travail. Un partage mal configuré avec des permissions "Everyone: Full Control" est l'une des façons les plus courantes pour un testeur d'obtenir son premier point d'ancrage.

Exploitation des Services et Point d'Ancrage

L'exploitation lors d'un audit réseau est rarement un zero-day. Il s'agit d'un CVE connu contre un service non patché, d'un identifiant par défaut que personne n'a changé, ou d'une mauvaise configuration comme un FTP anonyme ou un partage NFS exposé avec des permissions faibles. La base de modules de Metasploit couvre la plupart des exploits publics, et msfvenom génère la charge utile une fois qu'une méthode de livraison fonctionne. Notre aide-mémoire msfvenom documente la syntaxe des charges utiles pour les plateformes courantes.

Le catalogue CISA des vulnérabilités activement exploitées vaut la peine d'être consulté avant un audit. Il liste les vulnérabilités confirmées comme activement exploitées en conditions réelles, et les réseaux internes exécutent fréquemment des services correspondant à des entrées dont le correctif est disponible depuis des mois, voire des années. Étudiez d'abord les failles courantes et sans éclat. Ce sont elles qui sont exploitées en pratique, pas les plus exotiques.

💻
Pratiquez maintenant : Internal - énumérez un réseau d'entreprise, exploitez des services internes, et travaillez l'escalade de privilèges et le mouvement latéral dans un bac à sable navigateur.

Attaques par Identifiants et Mouvement Latéral

Une fois qu'un testeur dispose d'un point d'ancrage, les identifiants deviennent le chemin le plus rapide vers plus d'accès. Les réseaux Windows qui ont encore LLMNR et NBT-NS activés répondront volontiers à tout hôte prétendant être la ressource recherchée. Un outil comme Responder écoute passivement et capture des hashs NTLMv2 depuis chaque poste qui se trompe dans un nom de partage ou a un proxy mal configuré, sans aucune exploitation nécessaire.

Les hashs capturés sont cassés hors ligne plutôt qu'en ligne, car le cracking hors ligne ne génère aucun bruit de connexion échouée et tourne à la vitesse que permet votre matériel. Notre tutoriel de cracking de hash et notre guide sur comment utiliser John the Ripper couvrent le flux de travail, du hash capturé jusqu'au mot de passe en clair. En pratique, une politique de mot de passe autorisant un minimum de huit caractères donne encore des mots de passe cassés en quelques heures face à un GPU moderne, car les utilisateurs réutilisent des schémas comme une saison suivie d'une année.

Avec un jeu d'identifiants valides, la suite Impacket (psexec.py, wmiexec.py, secretsdump.py) permet à un testeur d'exécuter des commandes et de dumper des identifiants sur tout hôte où ces identifiants ont des droits admin locaux. Enchaîner cela sur un réseau, un dump d'identifiants sur l'hôte A révèle un compte de service admin sur l'hôte B, c'est ainsi qu'un simple point d'ancrage à faibles privilèges devient admin de domaine en une seule journée d'audit. Des outils de pivot comme Chisel ou proxychains étendent cette portée vers des segments réseau non directement routables depuis la machine du testeur.

Vulnérabilités Courantes des Audits Réseau

Après avoir mené des audits internes de façon répétée, une poignée de problèmes récurrents explique l'essentiel des découvertes critiques.

  • Empoisonnement LLMNR/NBT-NS : protocoles de résolution de noms hérités activés par défaut sur Windows, permettant à tout hôte du réseau de capturer des identifiants depuis des requêtes broadcast.
  • Identifiants faibles ou réutilisés : comptes de service avec des mots de passe qui n'expirent jamais, et le même mot de passe administrateur local réutilisé sur chaque poste depuis un processus d'imagerie unique.
  • Services de qualité "internet-facing" non patchés en interne : SMBv1 encore activé, serveurs web obsolètes, et interfaces d'administration (comme les consoles d'imprimantes ou d'hyperviseurs) laissées avec les identifiants par défaut.
  • Privilèges Active Directory excessifs : comptes de service kerberoastables et configurés avec des droits d'administrateur de domaine dont ils n'ont pas besoin, transformant un simple mot de passe de compte de service cassé en compromission complète du domaine.

Le kerberoasting mérite une mention spécifique car il ne nécessite aucun exploit. Tout utilisateur de domaine authentifié peut demander un ticket de service pour tout compte doté d'un Service Principal Name enregistré, et ce ticket est chiffré avec le hash du mot de passe du compte de service. Demandez des tickets pour chaque SPN du domaine, cassez-les hors ligne, et un mot de passe de compte de service faible devient un jeu d'identifiants de domaine valides sans jamais toucher à un exploit ni déclencher d'alerte liée à des échecs de connexion.

Outils Essentiels pour le Test de Pénétration Réseau

Un ensemble d'outils restreint couvre l'essentiel du travail d'audit réseau. La profondeur avec ces outils compte plus que la largeur sur des dizaines d'entre eux.

  • Nmap gère la découverte d'hôtes, le scan de ports et l'énumération de services. C'est le premier outil lancé sur chaque audit, interne ou externe.
  • Metasploit et msfvenom fournissent une base d'exploits consultable et la génération de charges utiles pour livrer des shells une fois un service vulnérable confirmé.
  • Responder capture des hashs NTLM passivement en répondant aux requêtes broadcast LLMNR, NBT-NS et mDNS avant que le serveur légitime ne le fasse.
  • Impacket est une boîte à outils Python pour exécuter des commandes, dumper des identifiants et mener des attaques Kerberos une fois des identifiants valides en main.
  • Hashcat et John the Ripper cassent les hashs de mots de passe récupérés en chemin, Hashcat l'emportant sur la vitesse accélérée par GPU.
  • Chisel et proxychains tunnellisent le trafic vers des segments réseau que la machine du testeur ne peut pas router directement, étendant la portée après le premier pivot.

Évitez la tentation de lancer chaque scanner auxiliaire de Metasploit contre chaque hôte. Cela génère un bruit de logs énorme et bat rarement un script Nmap ciblé combiné à une énumération manuelle. Réservez Metasploit à une exploitation confirmée et spécifique, pas à un scan aveugle.

Certifications en Test de Pénétration Réseau

Trois certifications valident spécifiquement la compétence en test réseau, chacune à un niveau de profondeur différent.

L'OSCP (Offensive Security Certified Professional) reste le point d'entrée le plus reconnu. Son examen pratique de 24 heures compromet un réseau de machines, pas une seule application, ce qui le rend directement pertinent pour cette spécialité. Notre guide de préparation OSCP détaille comment se préparer.

Le PNPT (Practical Network Penetration Tester) de TCM Security est construit autour d'un réseau Active Directory interne complet avec une exigence de rapport écrit, reflétant étroitement un véritable audit client. Consultez notre guide de certification PNPT pour le format d'examen et le coût.

Le CompTIA PenTest+ couvre le test réseau aux côtés du web et du cloud à un niveau plus large et plus théorique, utile comme fondation avant un examen entièrement pratique.

Notre recommandation : si le test réseau et Active Directory est votre spécialité, le PNPT teste des compétences bien plus proches du métier réel qu'un examen à choix multiples ne le pourrait jamais. Associez-le à l'OSCP une fois que vous voulez la certification qui ouvre le plus de portes auprès des recruteurs.

Considérations Légales et Éthiques

Rappel critique : Obtenez toujours une autorisation écrite explicite avant de tester un réseau que vous ne possédez pas. L'accès non autorisé à des systèmes informatiques est une infraction pénale selon le Computer Fraud and Abuse Act (États-Unis), le Computer Misuse Act (Royaume-Uni), et des lois équivalentes dans la plupart des pays. Une autorisation verbale ne suffit pas. Obtenez un document de périmètre signé nommant les plages d'IP, les hôtes et les techniques que vous êtes autorisé à utiliser.

Restez toujours dans le périmètre documenté. Les audits internes révèlent souvent des hôtes ou des sous-réseaux qui ne faisaient pas partie de l'accord initial. Documentez ce que vous trouvez, informez le client, et n'y touchez pas sans autorisation mise à jour. Des outils comme Responder et les attaques de relais NTLM sont particulièrement faciles à faire déborder du périmètre par accident, car ils capturent le trafic passivement sur tout le domaine de broadcast plutôt que sur un seul hôte ciblé.

Pour une pratique sûre et légale, les labs HackerDNA vous offrent un réseau d'entreprise construit pour l'exploitation, sans l'exposition légale liée à l'utilisation de ces techniques contre un environnement réel. Le cadre de test NIST SP 800-115 est une référence utile une fois que vous passez de la pratique en lab à un audit formel et cadré.

Vos Prochaines Étapes

Le test de pénétration réseau récompense le testeur qui énumère en profondeur avant de se tourner vers un exploit. La méthodologie reste la même d'un audit à l'autre : découvrir les hôtes, énumérer les services, obtenir un point d'ancrage, capturer et casser les identifiants, puis se déplacer latéralement vers les systèmes qui comptent. Ce qui change à chaque fois, c'est la mauvaise configuration spécifique qui vous y mène.

Commencez par le lab Internal pour pratiquer l'énumération et le mouvement latéral contre un réseau d'entreprise vivant, puis suivez le cours Network Penetration Testing complet de HackerDNA pour le flux de travail complet, du scan à l'admin de domaine, avec Nmap, Metasploit, Responder et Chisel. Si vous voulez la chaîne multi-étapes complète, du point d'ancrage web jusqu'au root, le lab Hack the Box est l'un des défis les plus populaires de la plateforme.

Le niveau gratuit de HackerDNA vous donne accès à des labs dans le navigateur, sans carte bancaire ni configuration VPN. Ouvrez un navigateur, choisissez un lab, et commencez à scanner.

HackerDNA Team

Équipe HackerDNA

Écrit par l'équipe HackerDNA - des professionnels de la cybersécurité qui créent des labs de hacking pratiques et du contenu éducatif pour vous aider à développer des compétences réelles en sécurité.

Rencontrer l'équipe

Prêt à mettre cela en pratique?

Arrêtez de lire, commencez à hacker. Obtenez une expérience pratique avec plus de 170 labs de cybersécurité réels.

Commencer à Hacker Gratuitement
15 000+ Hackers 100+ Labs & Cours Gratuit
Commencer Gratuitement