Top 20 Outils Cyber (2026)

Que vous soyez un Ingénieur SRE gérant des clusters Kubernetes critiques, un pentester (Red Team), ou un architecte Cloud, la maîtrise de votre boîte à outils définit votre niveau d’expertise. Fini les outils vieillissants : le paysage a été redéfini par le Go, Rust, et l’eBPF, tout en s’appuyant toujours sur les piliers historiques UNIX.

Voici la liste de référence absolue des 20 projets Open Source incontournables, utilisés quotidiennement par les experts offensifs (Red Team) et défensifs (Blue Team / Ops de haut vol).

🕵️‍♂️ 1. Reconnaissance & Gestion de la Surface d’Attaque (ASM)

1. Nmap (Network Mapper)


Contexte : Avant toute attaque ou audit, la découverte du réseau est la phase critique n°1. Nmap est le standard absolu depuis des décennies pour cartographier les hôtes vivants et les services exposés, au point d’être utilisé dans d’innombrables films de hacking (comme Matrix Reloaded). Positionnement & Tests : Exécuté depuis l’extérieur (reconnaissance de périmètre) ou depuis l’intérieur d’un LAN compromis, l’auditeur forge des paquets TCP/UDP bruts pour analyser la réponse des pare-feux et des piles TCP/IP cibles. Exécution & Résultat : L’outil envoie des sondes (SYN, ACK, UDP), analyse le timing et les drapeaux des réponses pour deviner le système d’exploitation (OS Fingerprinting). Il utilise son puissant moteur de scripts (NSE) pour extraire les bannières de versions exactes des services ou vérifier la présence de vulnérabilités standards.

Exemple d’Output :

PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0)
80/tcp  open  http     nginx 1.18.0
443/tcp open  ssl/http nginx 1.18.0

2. Nuclei


Contexte : Les scanners historiques (comme Nessus ou OpenVAS) sont exhaustifs mais extrêmement lents et lourds. Dans une approche DevSecOps moderne ou en Bug Bounty, il est vital de scanner massivement de nouvelles vulnérabilités (CVEs) dès la minute de leur publication. Positionnement & Tests : Nuclei s’utilise en boîte noire face à des cibles web ou réseau. L’ingénieur en sécurité ou le pipeline CI/CD l’alimente avec une liste massive d’URLs ou d’adresses IP. Exécution & Résultat : Écrit en Go, Nuclei ingère des milliers de “templates” YAML fournis et mis à jour quotidiennement par la communauté. Il orchestre des requêtes HTTP/DNS/TCP asynchrones massives et vérifie les réponses (headers, body) par correspondance de mots-clés intelligents (matchers) pour valider si la cible est exploitable avec 0 faux positif.

Exemple d’Output :

[CVE-2023-XXXX] [http] [critical] https://ravindra-job.com
[exposed-config] [http] [high] https://ravindra-job.com

3. Subfinder


Contexte : Lors d’un audit de sécurité ou de la gestion de la surface d’attaque externe (EASM), connaître le domaine principal (site.com) ne suffit pas. L’infrastructure cachée, souvent mal sécurisée, réside dans les sous-domaines oubliés (dev-api.site.com, staging.site.com). Positionnement & Tests : C’est un outil d’OSINT (Open Source Intelligence) totalement passif. L’auditeur ne touche jamais l’infrastructure de la cible ; il interroge des bases de données mondiales. Exécution & Résultat : Subfinder collecte des données depuis des dizaines d’API publiques (Censys, Shodan, VirusTotal, CertSpotter) en parallèle. Il extrait, déduplique et consolide une liste massive de sous-domaines valides, prête à être passée au crible par un scanner actif comme Nuclei ou Nmap.

Exemple d’Output :

api.ravindra-job.com
dev.ravindra-job.com
vpn.ravindra-job.com
staging-db.ravindra-job.com

4. Dig (Domain Information Groper)


Contexte : L’infrastructure d’Internet repose entièrement sur le routage DNS. Les erreurs de propagation, les enregistrements CNAME obsolètes (menant au Subdomain Takeover) et les protections mail (SPF/DKIM/DMARC) exigent une interrogation précise des serveurs de noms. Positionnement & Tests : Dig est un outil de diagnostic local exécuté par un administrateur système ou un auditeur. Il s’adresse soit à des résolveurs DNS publics (10.100.0.8, 10.100.0.1), soit directement au serveur DNS autoritaire de la cible pour tenter des attaques classiques (comme le transfert de zone AXFR). Exécution & Résultat : Dig forge des requêtes UDP/TCP sur le port 53 en exigeant le type d’enregistrement souhaité (TXT, MX, A). Il affiche la réponse non formatée du serveur DNS, révélant la chaîne de confiance et les TTLs, ce qui permet de comprendre immédiatement où la résolution échoue.

Exemple d’Output :

"v=spf1 include:_spf.google.com ~all"
"google-site-verification=xxxxxxxxx"

5. Ffuf

Ffuf Logo

Contexte : La majorité des failles logiques d’applications web proviennent de ressources non liées par des boutons HTML (API masquées, dossiers d’administration, backups). Pour les trouver, il faut deviner leur existence en testant massivement des chemins à l’aveugle (Content Discovery / Fuzzing). Positionnement & Tests : En tant que pentester web, l’outil attaque directement le serveur HTTP ciblé avec un débit extrêmement élevé. Il est souvent chaîné à un proxy local (comme Caido ou Burp) pour analyser les découvertes complexes. Exécution & Résultat : Ffuf remplace le mot clé FUZZ dans l’URL ou les Headers HTTP par les millions de mots d’un dictionnaire (Wordlist). Codé en Go, son moteur HTTP asynchrone sature la bande passante. Il filtre dynamiquement le bruit de fond (par taille de réponse, nombre de mots, code HTTP) pour isoler les seules pages réellement existantes comme /admin, .env, ou des Vhosts secrets.

Exemple d’Output :

admin                   [Status: 301, Size: 162, Words: 4, Lines: 10]
.git/HEAD               [Status: 200, Size: 23, Words: 2, Lines: 2]
api_v2                  [Status: 403, Size: 114, Words: 3, Lines: 1]

🎧 2. Observabilité & Analyse Réseau Profonde (eBPF)

6. Tetragon (Cilium)

Tetragon Logo

Contexte : Dans les clusters Kubernetes, les agents de sécurité traditionnels opérant en “user space” (espace utilisateur) peuvent être contournés par des malwares avancés ou sont tout simplement trop lents. Pour sécuriser un conteneur pendant son exécution (Runtime Security), la supervision doit se faire au niveau le plus profond : l’OS.

Positionnement & Tests : Tetragon est déployé sous forme de DaemonSet privilégié sur chaque nœud physique d’un cluster Kubernetes pour surveiller l’intégralité des conteneurs qui y tournent.

Exécution & Résultat : Tetragon utilise eBPF (Extended Berkeley Packet Filter) pour injecter du code sécurisé dans le noyau Linux (Kernel). Il “hook” (intercepte) de manière synchrone les appels systèmes critiques (Syscalls) comme l’ouverture d’un fichier sensible, la modification de privilèges (setuid) ou l’exécution d’un shell. S’il détecte une violation de ses règles, eBPF lui donne le pouvoir de tuer (SIGKILL) le processus fautif avant même que l’instruction CPU ne se termine.

Exemple d’Output :

🚀 process default/nginx /bin/bash -c "curl http://attack.ravindra-job.com"
🛑 SIGKILL sent to /bin/bash (policy: restrict-shell)

7. Hubble (Cilium)

Hubble Logo

Contexte : L’architecture des microservices Cloud-Native est une véritable “boîte noire” réseau. Lorsqu’un pod plante parce qu’il n’arrive pas à joindre une base de données, l’investigation réseau classique avec tcpdump IP par IP est ingérable à l’échelle de centaines de conteneurs éphémères. Positionnement & Tests : Hubble complète Cilium (le CNI de référence). Il agit comme un plan de contrôle distribué qui s’appuie sur eBPF pour capter les flux réseau là où ils sont émis (les veth pairs) et là où ils sont reçus. Exécution & Résultat : Il analyse la connectivité au niveau L3/L4 (IP/Port TCP) mais monte aussi jusqu’à la couche L7 (HTTP, gRPC, Kafka). Sa magie réside dans la traduction immédiate des adresses IP brutes en métadonnées K8s intelligibles (noms de Pods, Labels, Espaces de noms), offrant une cartographie en temps réel du trafic de tout le cluster.

Architecture réseau de Hubble / Cilium

Exemple d’Output :

May 22 10:14:02.123: default/frontend:54321 -> default/backend:80 HTTP GET /api/v1/data FORWARDED
May 22 10:14:02.150: default/backend:80 <- default/frontend:54321 HTTP 200 OK

8. TShark (Wireshark CLI)


Contexte : Lors de pannes réseau complexes, de l’analyse d’un handshake SSL/TLS défaillant ou du Reverse Engineering d’un malware propriétaire, les outils haut niveau ne suffisent plus. Il faut descendre au niveau de l’octet. Positionnement & Tests : La majorité des serveurs critiques (Linux) n’ont pas d’interface graphique (GUI). TShark est la version purement console de Wireshark. L’administrateur système l’exécute localement via SSH sur l’interface réseau cible (ex: eth0). Exécution & Résultat : L’outil passe la carte réseau en mode promiscuous (écoute globale de tout le trafic transitant sur le switch virtuel). TShark capture les trames Ethernet brutes, reconstruit dynamiquement les flux TCP/UDP et décode les protocoles imbriqués grâce à des milliers de dissecteurs (C/Lua) intégrés. Il permet de filtrer en live avec des expressions ultra-précises ou d’enregistrer des .pcap pour analyse ultérieure.

Exemple d’Output :

  1 0.000000 192.168.1.10 → 192.168.1.20 HTTP 180 GET /login.php HTTP/1.1
  2 0.045100 192.168.1.20 → 192.168.1.10 HTTP 240 HTTP/1.1 200 OK (text/html)

9. Netstat / ss


Contexte : Les questions “Qu’est-ce qui écoute sur le port 8080 de cette VM ?” ou “Où ce serveur établit-il des connexions sortantes ?” sont le quotidien de l’administration système et de la réponse à incident (DFIR). Positionnement & Tests : C’est l’outil de débogage fondamental, intégré au cœur de la distribution Linux. L’analyste l’exécute en local (Root) sur la machine inspectée. Exécution & Résultat : ss (Socket Statistics), qui a remplacé le vieux netstat, interroge l’état interne du noyau Linux via l’API ultra-rapide Netlink. Il liste instantanément toutes les sockets (TCP, UDP, Unix Domain), leur statut de connexion (LISTEN, ESTABLISHED, TIME_WAIT), ainsi que le PID et le nom du programme responsable, permettant de traquer immédiatement une backdoor logicielle.

Exemple d’Output :

Netid  State   Recv-Q  Send-Q   Local Address:Port   Peer Address:Port  Process
tcp    LISTEN  0       128      0.0.0.0:22           0.0.0.0:*          users:(("sshd",pid=600,fd=3))
tcp    LISTEN  0       100      127.0.0.1:3306       0.0.0.0:*          users:(("mysqld",pid=842,fd=15))

🚇 3. Utilitaires Réseau, Tunnels & C2

10. Netcat (nc)


Contexte : Interagir manuellement avec un protocole ou transférer des données brutes de machine à machine demande souvent d’écrire des scripts encombrants. Netcat permet de le faire de manière native et élégante, devenant ainsi le “couteau suisse du réseau TCP/IP”. Positionnement & Tests : Il s’utilise soit en tant que client (pour ouvrir une connexion vers un port), soit en tant que serveur (pour mettre un port en écoute). En hacking offensif, c’est l’outil universel pour réceptionner un Reverse Shell ou exposer un Bind Shell. Exécution & Résultat : Netcat lie l’entrée standard (stdin) et la sortie standard (stdout) d’un terminal Linux à un flux réseau TCP ou UDP. Si le hackeur redirige ce flux vers l’exécutable /bin/bash, le port réseau devient littéralement une interface terminal à distance.

Exemple d’Output :

Listening on [0.0.0.0] (family 0, port 4444)
Connection from 192.168.1.50 49152 received!
$ whoami
root

11. Traceroute / MTR


Contexte : Un simple “Ping” garantit qu’un serveur est allumé, mais si la connexion API entre Paris et Tokyo est dramatiquement lente ou coupe de manière aléatoire, le Ping ne suffit plus. Il faut auditer l’infrastructure d’Internet elle-même. Positionnement & Tests : Exécuté localement depuis le client qui initie la connexion. MTR (My Traceroute) est la version moderne qui sonde continuellement la route pour produire des statistiques de perte de paquets. Exécution & Résultat : L’outil forge astucieusement des paquets ICMP/UDP en incrémentant le Time To Live (TTL) de 1 à chaque nouvel envoi. Le premier routeur rencontré expire le paquet TTL=1 et renvoie une erreur (ICMP Time Exceeded), ce qui trahit son IP. Puis le second pour TTL=2, etc. On cartographie physiquement le trajet IP complet et on détecte à quel “hop” (saut) la congestion se produit.

Exemple d’Output :

Host                     Loss%   Snt   Last   Avg  Best  Wrst StDev
1. 192.168.1.254          0.0%    10    1.2   1.5   1.0   2.5   0.4
2. 10.0.0.1 (FAI-PRO)     0.0%    10   12.3  12.0  11.5  13.2   0.6
3. core.google.com        0.0%    10   14.1  13.8  13.0  15.1   0.2

12. Chisel


Contexte : Lors d’un test d’intrusion interne (Pentest), l’attaquant a compromis un serveur Linux, mais celui-ci est coincé derrière un Pare-feu Egress ultra-strict qui bloque tout le trafic sortant, à l’exception des ports Web HTTP/HTTPS (80/443). Positionnement & Tests : On déploie le binaire client Chisel (codé en Go et compilable statiquement) sur la machine compromise de la victime, et le serveur Chisel sur l’infrastructure Cloud de l’attaquant (C2) sur internet. Exécution & Résultat : Chisel monte un tunnel TCP bidirectionnel (faisant souvent office de proxy SOCKS5) extrêmement rapide. L’ingéniosité de l’outil réside dans le fait qu’il encapsule intégralement ce trafic TCP dans une connexion légitime WebSockets HTTP, elle-même sécurisée par SSH. Le pare-feu entreprise ne voit qu’une banale navigation web persistante, alors que l’attaquant pivote silencieusement vers le réseau interne de l’entreprise.

Exemple d’Output :

2026/05/22 10:20:00 server: session#1 established
2026/05/22 10:20:00 server: Reverse port-forwarding 0.0.0.0:1080 to R:socks

13. Sliver


Contexte : Les EDR (Endpoint Detection and Response) modernes basés sur l’IA détectent instantanément les malwares standards comme Cobalt Strike ou les payloads Metasploit. Les Red Teams avancées nécessitent des agents furtifs capables de s’adapter et de muter. Positionnement & Tests : Sliver est déployé comme un “TeamServer” (serveur de commandement centralisé) hébergé sur Internet. Les auditeurs génèrent depuis ce serveur des agents malveillants polymorphes (nommés “Demons”, codés en Go ou C++) qu’ils distribuent à la victime (par phishing ou via une exploitation système). Exécution & Résultat : Une fois le Demon injecté dans la mémoire de la machine victime, il utilise le DNS, le protocole mTLS, ou WireGuard pour envoyer des “Beacons” (signaux de vie) au serveur de manière sporadique et chiffrée. L’attaquant administre sa flotte de zombies depuis un client CLI multijoueur, ordonnant l’exécution silencieuse de shellcodes en mémoire (In-Memory execution) ou l’élévation de privilèges (Bypass UAC).

Exemple d’Output :

[*] Session 1 (WIN-DESKTOP) - 192.168.50.10:49213
sliver > use 1
[*] Active session WIN-DESKTOP
[server] sliver (WIN-DESKTOP) > ls

💥 4. Exploitation & Active Directory

14. BloodHound


Contexte : Les architectures Active Directory (AD) d’entreprise sont tentaculaires. Avec des milliers de permissions (GPO, ACL), de groupes imbriqués et de sessions utilisateurs actives, il est humainement impossible de trouver le maillon faible logique permettant de compromettre le domaine. Positionnement & Tests : L’auditeur (ou un malware) exécute silencieusement un binaire collecteur (comme SharpHound.exe) à partir d’un simple poste utilisateur ou serveur sans privilèges, déjà compromis au sein du domaine AD. Exécution & Résultat : Le collecteur va “dumper” l’intégralité des données accessibles via LDAP et SAMR. Ces milliers de lignes de JSON sont ensuite importées dans une base de données graphique (Neo4j). L’interface BloodHound modélise alors ces entités sous forme de graphe et révèle visuellement les “Attack Paths” cachés (ex: L’utilisateur A possède les droits de redémarrer le serveur B, sur lequel l’administrateur C a laissé une session ouverte permettant le vol de son jeton).

Exemple d’Output :

[+] Resolving local admins...
[+] Finished dumping 1520 Computers, 450 Groups, 2010 Users.
[+] Saved to 20260522101010_BloodHound.zip

15. Impacket


Contexte : Interagir avec les protocoles réseau cryptiques et fermés de Microsoft (SMB, MSRPC, WMI, Kerberos) nécessite normalement de lourdes bibliothèques C/C++ sous Windows. Pour les hackers sous Linux/Kali, il fallait un pont logiciel. Positionnement & Tests : Les scripts Impacket sont exécutés depuis la machine de l’attaquant sur le réseau local (LAN) ou à travers un proxy SOCKS pour cibler des serveurs Windows et Contrôleurs de Domaine (DC). Exécution & Résultat : Écrite en pur Python, cette collection magistrale reconstruit des paquets réseau Windows valides octet par octet. Elle permet d’exécuter des attaques critiques comme le “Pass-The-Hash” (s’authentifier avec un hash NTLM volé sans connaître le mot de passe via psexec.py), la récupération de tickets hors ligne (Kerberoasting avec GetUserSPNs.py), ou les attaques de relais critiques (via ntlmrelayx.py).

Exemple d’Output :

[*] Requesting shares on 192.168.1.10.....
[*] Found writable share ADMIN$
[*] Uploading file C:\WINDOWS\system32\x.exe
C:\Windows\system32> whoami
nt authority\system

16. Metasploit Framework


Contexte : Lorsqu’un scanner de vulnérabilité (comme Nuclei) identifie une faille critique de type RCE (Remote Code Execution, par exemple la faille Log4j ou EternalBlue), l’auditeur doit prouver l’impact réel à son client en exploitant la faille pour obtenir un accès complet. Positionnement & Tests : MSF s’utilise comme console de pilotage centrale sur l’OS de l’auditeur (Kali Linux). Il orchestre le ciblage (RHOSTS), la sélection de l’exploit précis pour l’architecture détectée, et la définition de la charge utile post-exploitation (Payload). Exécution & Résultat : Metasploit, énorme framework codé en Ruby, compile et exécute le module d’exploitation. Si la cible est vulnérable, la faille est armée et la charge utile (par exemple l’agent Meterpreter) est poussée en mémoire. L’attaquant obtient alors une session persistante et un interpréteur interactif offrant des macros destructrices : élévation de privilèges (getsystem), dump de mots de passe (hashdump) ou contrôle webcam.

Exemple d’Output :

[*] Started reverse TCP handler on 192.168.1.5:4444
[*] 192.168.1.100:445 - Sending all but last fragment of exploit packet
[*] Command shell session 1 opened (192.168.1.5:4444 -> 192.168.1.100:49158)
meterpreter >

17. Hashcat


Contexte : Après avoir exfiltré une base de données MySQL compromise ou dumpé la mémoire d’un serveur Windows (fichiers NTDS.dit ou base SAM), l’attaquant détient des empreintes cryptographiques illisibles (Hashs de mots de passe). Positionnement & Tests : Le cassage de mot de passe est une tâche purement hors ligne (Offline). L’auditeur rapatrie le fichier texte contenant les hashs sur sa propre infrastructure dédiée, souvent un monstre de puissance composé de multiples cartes graphiques (Rig GPU). Exécution & Résultat : Hashcat est l’outil de cassage le plus véloce du marché. Il délègue l’algorithme mathématique aux processeurs hautement parallèles des GPU via OpenCL/CUDA. En appliquant des dictionnaires massifs (rockyou) couplés à des règles de mutation de texte complexes, il teste des dizaines de milliards de combinaisons par seconde jusqu’à trouver la chaîne en clair (Plaintext) générant ce hash.

Exemple d’Output :

5b052843075c7dd7b269b66236b28135:password123
Session..........: hashcat
Speed.#1.........:  1424.5 MH/s (10.12ms)
Recovered........: 1/1 (100.00%)

🧱 5. Web, Cloud & Runtime Security (DevSecOps)

18. Mitmproxy


Contexte : L’analyse du fonctionnement secret d’une application mobile moderne ou la recherche de failles logiques dans des API REST B2B nécessite impérativement d’intercepter les requêtes HTTP/HTTPS normalement chiffrées de bout en bout. Positionnement & Tests : Mitmproxy agit comme un routeur d’interception (Man-In-The-Middle). On configure les proxys système (ou VPN) de l’appareil client (smartphone iOS/Android, navigateur web) pour passer par Mitmproxy, et on installe son certificat autorité racine (CA) forgé pour décrypter le TLS à la volée. Exécution & Résultat : Plus léger et scriptable que Burp Suite, Mitmproxy (pur Python) décode le flux en temps réel sur une interface console (CUI) ou Web. Son pouvoir réside dans son API Python : on peut rédiger un script de 10 lignes qui modifie automatiquement tous les JSON transitant pour par exemple inverser des booléens de sécurité (ex: "isAdmin": false devient true) et observer la réaction de l’API Cloud.

Exemple d’Output :

Web server listening at http://127.0.0.1:8081/
Proxy server listening at http://*:8080
* Intercepted POST /api/v1/auth - 200 OK

19. Trivy


Contexte : Dans le Cloud-Native, déployer une image Docker vulnérable en production équivaut à exposer le cluster entier. La philosophie DevSecOps moderne (Shift Left Security) impose que le code, les dépendances (npm, maven, python) et l’OS des conteneurs soient validés de manière bloquante avant d’arriver sur les serveurs. Positionnement & Tests : Développé par Aqua Security, Trivy est optimisé pour être exécuté dans les pipelines d’intégration continue éphémères (GitLab CI, GitHub Actions) ou directement sur le laptop du développeur juste avant de push un tag Docker. Exécution & Résultat : Trivy n’a pas besoin du daemon Docker. Il parse directement le système de fichiers ou les archives compressées (Tarball) des images OCI. Il génère une nomenclature logicielle complète (SBOM) de tout ce qui compose le conteneur, et la confronte en quelques millisecondes à sa gigantesque base de données interne de vulnérabilités OS (Debian, Alpine, Ubuntu) et applicatives, listant toutes les CVE.

Exemple d’Output :

nginx:latest (debian 11.7)
Total: 3 (UNKNOWN: 0, LOW: 1, MEDIUM: 0, HIGH: 1, CRITICAL: 1)
+----------------+----------------+----------+-------------------+
|    LIBRARY     | VULNERABILITY  | SEVERITY | INSTALLED VERSION |
+----------------+----------------+----------+-------------------+
| libssl1.1      | CVE-2023-XXXX  | CRITICAL | 1.1.1n-0+deb11u4  |
+----------------+----------------+----------+-------------------+

20. Falco


Contexte : L’analyse statique a ses limites. Si un attaquant parvient à infiltrer une application (par exemple un serveur Nginx) en production via une faille Zero-Day, les scanners Cloud n’y verront rien de l’extérieur. Il est indispensable de détecter le comportement du malware en cours d’exécution (Runtime Security). Positionnement & Tests : Falco, un outil majeur incubé par la CNCF, se déploie de manière ultra-privilégiée sur l’ensemble des nœuds K8s (serveurs Linux) formant le socle d’un cluster cloud. Exécution & Résultat : Comme Tetragon, Falco injecte du code eBPF (ou un module kernel classique) pour écouter tous les événements systèmes de l’OS. Il applique en direct un moteur de règles heuristiques sophistiquées sur ces flux bruts. Si le conteneur web inoffensif nginx commence subitement à ouvrir le fichier des mots de passe /etc/shadow ou à invoquer le shell /bin/bash pour la première fois, Falco le repère et lève instantanément une alerte d’intrusion majeure qui sera transmise vers le SIEM de l’entreprise (ex: Datadog, Slack, Splunk).

Exemple d’Output :

10:04:02.123456000: Warning A shell was spawned in a container with an attached terminal (user=root container_id=abc1234 image=nginx:latest)

🚀 Bonus 2026 : La Nouvelle Garde (Next-Gen)

Si vous maîtrisez déjà le Top 20 historique, voici 4 outils ultra-modernes (sortis ou popularisés très récemment) qui révolutionnent actuellement les audits de haut niveau.

21. Caido

Caido Logo

Contexte : Pendant plus de 15 ans, l’outil dominant du pentest web (Burp Suite) monopolisait d’énormes quantités de RAM (à cause de l’écosystème Java) et laggait considérablement sur les très gros projets de Bug Bounty. Positionnement & Tests : Caido est le remplaçant spirituel de Burp, conçu dès le départ pour le proxy HTTPS et l’altération de requêtes. L’auditeur l’installe localement sur son poste, ou de manière décentralisée sur un VPS Cloud puissant pour intercepter le trafic de son navigateur web local. Exécution & Résultat : Complètement réécrit en Rust, le backend de Caido est foudroyant de rapidité et consomme couramment moins de 50MB de RAM, même avec des historiques de requêtes massifs. Son architecture client/serveur innovante permet à plusieurs auditeurs d’une même Red Team de se connecter à la même instance, de voir les requêtes HTTPS capturées en temps réel, de manipuler les flux Websockets asynchrones, et d’orchestrer des attaques collaboratives sans latence depuis une interface utilisateur web ou locale magnifique.

Exemple d’Output :

[INFO] Caido v0.32.0 starting...
[INFO] Web interface available at http://127.0.0.1:8080
[INFO] Proxy listening on http://127.0.0.1:8081

22. KubeHound

KubeHound Logo

Contexte : Dans un environnement Cloud-Native complexe (orchestré par Kubernetes), une simple erreur de permission dans les milliers de règles RBAC (Role-Based Access Control) peut permettre à un hacker de compromettre l’intégralité d’une infrastructure. KubeHound, développé par DataDog, est la transposition directe et ultime de la philosophie BloodHound pour les conteneurs. Positionnement & Tests : Pour l’utiliser, l’auditeur se positionne généralement de l’extérieur avec un simple fichier kubeconfig valide (simulant un accès de développeur interne compromis ou un vol d’identifiants), ou depuis l’intérieur d’un pod applicatif web vulnérable. Exécution & Résultat : KubeHound exécute un “Collector” qui se connecte de manière non destructrice à l’API Kubernetes pour en extraire (“dumper”) la configuration complète du cluster. Ces données brutes (les Roles, les ServiceAccounts, les montages de disques HostPaths) sont ingérées dans MongoDB puis structurées par un moteur d’analyse réseau (Graph Builder) dans la base de données graphique JanusGraph. Le résultat est une cartographie visuelle interactive qui montre, étape par étape, comment pivoter d’un simple conteneur web isolé jusqu’à obtenir le Saint Graal : les privilèges absolus de ClusterAdmin.

Exemple d’Output :

[+] Collecting Kubernetes resources from API server...
[+] Analyzing 45 Roles, 30 RoleBindings, 120 Pods...
[+] Calculating Attack Paths (Escalation, Token Theft, HostPath Mount)...
[+] Graph generated ! 12 Attack paths to ClusterAdmin found.
[+] Access the local UI at http://127.0.0.1:8080

23. Havoc C2

Havoc Logo

Contexte : Dans le monde clandestin des opérations Red Team avancées, les anciens outils de contrôle (comme Cobalt Strike ou Metasploit) ont longtemps régné en maîtres, mais leurs signatures mémoires et réseaux sont désormais instantanément bloquées par tous les EDR/Antivirus modernes. Havoc C2, développé par @C5pider, est le framework de Command & Control (C2) Open Source de nouvelle génération conçu spécifiquement pour l’évasion agressive.

Positionnement & Tests : Le framework suit une architecture distribuée stricte : un “Teamserver” lourdement sécurisé est hébergé sur Internet (l’infrastructure de l’attaquant), et des clients graphiques y sont connectés par les multiples auditeurs d’une équipe pour collaborer en direct.

Exécution & Résultat : Le framework génère et compile dynamiquement des “implants” hautement personnalisés (nommés Demons, en C++ ou C) que l’on fait exécuter sur les machines Windows compromises. Ces agents exécutent des commandes de post-exploitation de manière indétectable en contournant l’EDR. Ils utilisent des techniques de pointe comme l’obfuscation de la mémoire dormante (Sleep Obfuscation) et l’usurpation des appels systèmes profonds de Windows (Direct/Indirect Syscalls). L’interface graphique spectaculaire permet ensuite à la Red Team d’interagir silencieusement avec la machine ou de visualiser le graphe hiérarchique massif de toutes les machines infectées.

Vue Graphique (Full Session Graph) :

Graphe d’attaque interactif Havoc C2

Console de Session :

Console d’interaction avec un implant (Demon)

24. Semgrep

Semgrep Logo

Contexte : L’analyse de code source à la recherche de vulnérabilités (SAST) a longtemps été une étape redoutée, synonyme d’outils lents, capricieux et générant d’innombrables fausses alertes qui frustrent les équipes de développement. Semgrep a totalement repensé cette approche mathématique pour s’intégrer nativement dans les pipelines CI/CD modernes à la vitesse de l’éclair.

Positionnement & Tests : Conçu par et pour les développeurs ainsi que les ingénieurs DevSecOps, Semgrep s’exécute directement et localement sur le code source de l’application (Python, JS, Go), les fichiers d’infrastructure Terraform ou les Dockerfiles. Il intervient le plus tôt possible, souvent lors d’un “commit” (Pre-commit hook) ou directement dans une action GitHub.

Exécution & Résultat : L’innovation majeure de Semgrep est l’abandon des expressions régulières aveugles. Il parse et compile le code en une structure d’arbre de syntaxe abstraite (AST) pour comprendre la logique sémantique de l’application. Vous pouvez écrire des règles de sécurité simplement en écrivant un code d’exemple à bannir (par ex. rechercher tout exec(...) en ignorant les commentaires). Le scan complet d’un monolithe applicatif de millions de lignes s’effectue en quelques secondes, bloquant le déploiement d’une faille logique (comme un secret API en dur) bien avant qu’elle n’atteigne le Cloud.

Exécution du CLI :

Scan Semgrep en ligne de commande

Interface Web & Dashboard :

Dashboard Cloud Semgrep

Éditeur de Règles (Rules Editor) :

Éditeur interactif de règles Semgrep


Conclusion

L’époque des “scripts magiques” isolés est révolue. Aujourd’hui, un professionnel de haut vol orchestre des outils construits pour la performance (Go, Rust) et l’observabilité profonde (eBPF). Un ingénieur DevSecOps combinera Trivy et Falco pour sécuriser ses conteneurs, tandis qu’une équipe Red Team enchaînera Subfinder, Nuclei, et Sliver pour s’infiltrer.

La maîtrise de ces outils d’élite vous donne un avantage stratégique considérable pour auditer, compromettre et protéger des infrastructures modernes de très haut niveau.

Sources

  1. Toutes les documentations officielles des projets référencés ci-dessus (liens GitHub intégrés par section).
  2. CNCF - Cloud Native Computing Foundation
  3. Architecture KubeHound (Documentation DataDog)

Si vous voulez plus d’information sur l’infrastructure vous pouvez voir l’ repo à ce sujet : https://github.com/ravindrajob/InfraAtHome

See Also

Simuler des attaques
Agent IA Red Team Local
Auditer son Cloud (IA Act)