ISOSET: Kali Linux, Metasploit, Burp Suite

    Home » ISOSET: Kali Linux, Metasploit, Burp Suite

ISOSET: Kali Linux, Metasploit, Burp Suite

By in Articles

Face à la multiplication des cyberattaques – rançongiciels, vols de données, intrusions dans les systèmes critiques – les organisations ont pris conscience qu’il ne suffit plus de se défendre passivement. Il faut anticiper, détecter les failles avant les attaquants, et tester en continu la résilience de son système d’information. C’est tout l’objet des tests d’intrusion (ou penetration testing). Et dans ce domaine, trois noms s’imposent comme des standards incontournables : Kali Linux, la distribution dédiée à la sécurité offensive ; Metasploit, le framework d’exploitation de vulnérabilités ; et Burp Suite, l’outil de prédilection pour tester la sécurité des applications web. Ensemble, ils forment l’arsenal de base de tout professionnel en cybersécurité, qu’il soit pentesteur, RSSI (responsable de la sécurité des systèmes d’information) ou développeur soucieux de la sécurité de ses API. Chez ISOSET, organisme de formation aux métiers du numérique, nous intégrons ces outils dans nos parcours de spécialisation en cybersécurité offensive. Cet article vous propose une plongée détaillée dans chacun d’eux, leurs usages, leurs forces et les bonnes pratiques enseignées par nos formateurs experts.

1. Kali Linux : l’environnement complet du pentesteur

Kali Linux (successeur de BackTrack) est une distribution GNU/Linux basée sur Debian, développée et maintenue par Offensive Security. Elle est préconfigurée avec des centaines d’outils de sécurité : scanners de réseau (Nmap, masscan), analyseurs de protocoles (Wireshark), outils de cracking de mots de passe (John the Ripper, Hashcat), frameworks d’exploitation (Metasploit), outils d’ingénierie sociale (SET), et bien d’autres. L’intérêt de Kali n’est pas d’avoir un outil unique, mais de disposer d’un environnement cohérent, régulièrement mis à jour, et conçu pour être utilisé en mode « live » (bootable sur clé USB) ou en machine virtuelle, sans laisser de traces sur la machine hôte.

Pourquoi Kali plutôt qu’une distribution classique ? La réponse tient en trois points : la curation des outils (seuls les plus pertinents et maintenus sont inclus), la personnalisation du noyau (supports des pilotes pour cartes Wi-Fi en mode monitor, par exemple) et la philosophie « out-of-the-box » : un pentesteur peut démarrer Kali, lancer Nmap, puis Metasploit, sans avoir à installer des dépendances pendant des heures.

Principales catégories d’outils intégrés :

  • Reconnaissance : Nmap (découverte de ports et services), Recon-ng, theHarvester (collecte d’emails), Amass (mapping de domaine).
  • Analyse de vulnérabilités : OpenVAS, Nikto (scanner web), WPScan (WordPress).
  • Exploitation : Metasploit, BeEF (Browser Exploitation Framework), SQLmap (injection SQL).
  • Maintien d’accès : PowerShell Empire, Nishang, Weevely.
  • Forensique et reverse : Autopsy, Ghidra, radare2.
  • Outils Wi-Fi : Aircrack-ng, Reaver, Wifite.

Kali est disponible en plusieurs éditions : Light (minimal), Everything (tous les outils), et des images pour ARM (Raspberry Pi). Il est déconseillé de l’utiliser comme système principal au quotidien (à cause des privilèges root par défaut), mais plutôt en machine virtuelle ou sur un matériel dédié.

Cas d’usage typique : un test d’intrusion externe commence par l’énumération des cibles avec Nmap, puis l’analyse des services découverts avec des scripts NSE. Ensuite, on lance un scan de vulnérabilités avec OpenVAS, puis on exploite les failles via Metasploit. Tout cela se fait depuis un seul terminal Kali.

Dans nos formations, ISOSET propose un module d’initiation à Kali Linux : installation en VM, prise en main du shell, mise à jour des outils, utilisation de kali-tools pour installer des familles spécifiques (web, wireless, forensics). Nos apprenants repartent avec une image de machine virtuelle préconfigurée et les scripts d’automatisation des scans.

2. Metasploit : le framework d’exploitation qui a démocratisé le pentesting

Metasploit Framework (MSF) est un projet open source créé par H.D. Moore en 2003, aujourd’hui détenu par Rapid7. Il permet de développer, tester et exécuter des exploits (codes qui prennent avantage d’une vulnérabilité) contre des cibles distantes. MSF contient des centaines d’exploits prêts à l’emploi pour des failles célèbres (EternalBlue, Shellshock, Heartbleed, etc.) ainsi que des payloads (code à exécuter après exploitation, comme un reverse shell, un keylogger, ou Meterpreter).

Architecture de Metasploit :

  • Modules : exploits, payloads, encoders (pour éviter la détection), nops, post-exploitation.
  • Interfaces : console (msfconsole), ligne de commande (msfcli – dépréciée), interface web (Armitage, aujourd’hui moins utilisée), et API REST.
  • Meterpreter : payload avancé qui offre un shell interactif avec des commandes pour télécharger des fichiers, prendre des captures d’écran, pivoter vers d’autres réseaux, etc.

Cycle d’utilisation typique :

  1. msfconsole pour lancer la console.
  2. search pour trouver un exploit (ex: search eternalblue).
  3. use exploit/windows/smb/ms17_010_eternalblue.
  4. show options pour voir les paramètres (RHOSTS, RPORT, PAYLOAD).
  5. set RHOSTS 192.168.1.10 et set PAYLOAD windows/x64/meterpreter/reverse_tcp.
  6. run ou exploit.

Si la cible est vulnérable, on obtient une session Meterpreter. On peut alors exécuter sysinfogetuiduploaddownloadshellrun post/windows/gather/hashdump, etc.

Importance pour les équipes bleues : Metasploit n’est pas seulement un outil d’attaque. Il est aussi utilisé par les défenseurs pour valider que leurs correctifs fonctionnent (on teste si l’exploit échoue après patch), pour simuler des attaques réalistes lors d’exercices de « purple teaming », et pour évaluer la couverture des solutions EDR (Endpoint Detection and Response).

Limites et précautions : Lancer un exploit sur un système sans autorisation est illégal. De plus, certains exploits peuvent faire planter le service cible (deni de service). Il est donc indispensable de tester d’abord en laboratoire ou sur des périmètres explicitement autorisés par contrat. Chez ISOSET, nous insistons sur l’aspect légal et déontologique : nos stagiaires signent une charte et ne travaillent que sur des environnements isolés fournis par nos soins.

Metasploit et Kali : Metasploit est intégré par défaut dans Kali. On peut aussi l’installer sur d’autres distributions. Rapid7 propose une version commerciale (Metasploit Pro) avec une interface web, des rapports automatisés et des fonctionnalités de brute-force.

Nos formateurs ISOSET sont des praticiens qui enseignent l’art de l’exploitation avec Metasploit mais aussi sans lui , l’utilisation de Metasploit est limitée. La formation couvre donc à la fois l’utilisation du framework et la compréhension manuelle des exploits (buffer overflow, retour à la libc, etc.).

3. Burp Suite : le couteau suisse du testeur d’applications web

Si Kali et Metasploit excellent dans les tests réseau et système, Burp Suite (édité par PortSwigger) est l’outil de référence pour la sécurité des applications web. Il agit comme un proxy intercepteur placé entre le navigateur du testeur et l’application cible, permettant de capturer, modifier et rejouer les requêtes HTTP/HTTPS. Sa version Community est gratuite et suffisante pour l’apprentissage ; la version Professional ajoute un scanner automatisé, des extensions avancées et des outils de répétition de tâches.

Composants principaux de Burp Suite :

  • Proxy : intercepte le trafic, permet de le modifier en vol. On configure son navigateur pour utiliser le proxy Burp (127.0.0.1:8080). On peut ainsi voir chaque requête GET/POST, cookie, paramètre.
  • Repeater : prend une requête capturée et permet de la modifier manuellement à volonté, de la renvoyer, d’observer les réponses. Indispensable pour tester les injections SQL, XSS, etc.
  • Intruder : automatise des attaques de type brute‑force, fuzzing de paramètres, tests d’IDOR (Insecure Direct Object Reference). Il génère des variations de payloads à partir de listes wordlists.
  • Scanner (Pro) : analyse automatiquement les vulnérabilités courantes (XSS, SQLi, CSRF, etc.) avec un niveau de faux positifs raisonnable.
  • Decoder : encode/décode des chaînes (base64, URL, HTML, etc.).
  • Comparer : visualise les différences entre deux réponses HTTP.
  • Extensions : BApp Store (ex: Turbo Intruder, AWS Security Checks, JWT Editor).

Flux de travail typique d’un test web avec Burp :

  1. Naviguer sur l’application cible avec le proxy activé pour cartographier l’ensemble des endpoints (onglet Target > Site map).
  2. Identifier un paramètre suspect (par exemple ?id=123 dans une URL).
  3. Envoyer la requête à Repeater, modifier id en 123 OR 1=1 et observer la réponse.
  4. Si une erreur SQL apparaît, passer à Intruder avec une payload list SQLi.
  5. Pour un formulaire de connexion, utiliser Intruder en attaque de type « Pitchfork » ou « Cluster bomb » avec des listes d’identifiants/mots de passe.
  6. Générer un rapport (Pro) ou documenter manuellement les vulnérabilités.

Pourquoi Burp plutôt qu’un simple proxy comme OWASP ZAP ? ZAP est également très bon, gratuit et open source. Burp se distingue par son interface plus fluide, la puissance de son Intruder (moteur de payloads très configurable), et son écosystème d’extensions . De nombreuses entreprises fournissent des licences Burp Pro à leurs équipes de sécurité.

Burp et les API modernes : Burp sait aussi intercepter du trafic WebSocket, GraphQL, et même des requêtes JSON/REST. Il peut s’intégrer avec des frameworks de test automatisés (via l’API REST de Burp). Les développeurs l’utilisent également pour déboguer leurs propres API.

Chez ISOSET (nos formations s’adressent également aux jeunes dès 16 ans), nous proposons un atelier « Web Hacking avec Burp Suite » où les apprenants attaquent une application volontairement vulnérable (OWASP Juice Shop, WebGoat). Ils doivent réussir à injecter du JavaScript, contourner l’authentification, accéder aux fichiers sensibles et remonter les vulnérabilités dans un rapport professionnel. Cet exercice est très formateur et apprécié.

4. Bonnes pratiques et aspects légaux de l’utilisation de ces outils

Posséder ces outils ne fait pas de vous un pentesteur compétent. Une mauvaise utilisation peut causer des dégâts : déni de service, altération de données, ouverture de brèches involontaires. De plus, l’utilisation sans autorisation est illégale et peut mener à des poursuites pénales. ISOSET enseigne une méthodologie rigoureuse en plusieurs étapes :

Cadre légal :

  • Obtenir un périmètre écrit (scope) délimitant les cibles, les techniques autorisées et la période du test.
  • Signer une convention de test d’intrusion avec clause de confidentialité.
  • Ne jamais tester d’infrastructures n’appartenant pas à son organisation ou pour lesquelles on n’a pas d’autorisation expresse.

Bonnes pratiques techniques :

  • Travailler dans un environnement isolé : utiliser des snapshots de VM avant chaque test.
  • Pour Burp Suite, désactiver l’interception par défaut et ne l’activer que lorsque nécessaire pour éviter d’interférer avec la navigation normale.
  • Avec Metasploit, préférer les payloads stageless quand c’est possible pour éviter les problèmes de stabilité.
  • Toujours tester les exploits en laboratoire avant de les lancer sur la cible réelle.
  • Documenter chaque action : horodatage, requêtes envoyées, réponses reçues.
  • Pour les tests web, limiter le débit d’Intruder (throttling) pour ne pas saturer l’application cible.

Gestion des découvertes : Une fois une vulnérabilité trouvée, il faut la reproduire proprement, en extraire une preuve de concept (PoC) non destructive, puis la remonter dans un rapport. La correction doit être validée après patch.

Nos formations incluent des modules sur la rédaction de rapports d’intrusion, compétence souvent négligée mais cruciale. Les stagiaires doivent produire un rapport exploitant leurs découvertes sur des cibles labellisées, avec recommandations de remédiation.

Outils complémentaires : Au-delà de Kali, Metasploit et Burp, nous recommandons d’apprendre à utiliser Nmap (maîtrise des scripts NSE), Wireshark (analyse réseau), John/Hashcat (cracking), sqlmap (injection SQL automatisée), et pour l’ingénierie sociale, le Social-Engineer Toolkit (SET). Mais ces trois piliers suffisent pour couvrir 80% des missions de pentest standards.

5. Évolution et alternatives : vers une démocratisation des tests de sécurité

Le paysage des outils de sécurité offensive évolue rapidement. Kali Linux sort des mises à jour plusieurs fois par an. Metasploit intègre désormais des modules pour les conteneurs (Docker, Kubernetes) et le cloud (AWS, Azure). Burp Suite ajoute régulièrement des extensions pour les API GraphQL ou les webhooks.

Alternatives notables :

  • Pour Kali : Parrot OS (plus léger, meilleur pour la privacy), BlackArch (énorme collection d’outils, mais plus difficile).
  • Pour Metasploit : Canvas (commercial), Empire (post-exploitation), ou encore l’exploitation manuelle avec des scripts Python personnalisés.
  • Pour Burp Suite : OWASP ZAP (gratuit, open source, très bon pour l’automatisation), Caido (nouveau venu, interface moderne).

La tendance “purple team” : Les outils offensifs sont de plus en plus utilisés par les équipes de défense pour valider leurs capteurs (SIEM, NDR, EDR). On parle de « breach and attack simulation » (BAS). Des frameworks comme Caldera (MITRE) ou Atomic Red Team s’appuient sur les mêmes techniques que Metasploit. Ainsi, former ses équipes à ces outils, c’est aussi renforcer sa posture défensive.

6. Se former aux outils de test d’intrusion avec ISOSET

La cybersécurité offensive est un domaine passionnant mais exigeant. Il ne suffit pas de télécharger Kali et de lancer quelques commandes. Une formation structurée, encadrée par des experts, est la clé pour éviter les mauvaises pratiques et acquérir une méthodologie professionnelle. ISOSET propose plusieurs parcours :

  • Initiation à la cybersécurité offensive (3 jours) : installation de Kali, commandes essentielles, découverte de Nmap, Burp Suite Community, premiers exploits Metasploit sur machines vulnérables (Metasploitable 2).
  • Perfectionnement – Pentest Web (2 jours) : approfondissement de Burp Suite (Intruder, Repeater, Scanner), injection SQL manuelle, XSS, CSRF, contournement d’authentification, rapport de vulnérabilités.
  • Perfectionnement – Pentest Réseau & Système (2 jours) : exploitation avancée avec Metasploit, pivot réseau, post-exploitation (hashdump, persistence), contournement d’antivirus, présentation de frameworks alternatifs.
  • Préparation OSCP (5 jours intensifs) : entraînement sur des machines du laboratoire virtuel, technique d’énumération, méthodologie de prise de notes, gestion du temps d’examen.

Nos formateurs sont des pentesteurs en activité. Ils partagent leurs retours d’expérience terrain : comment gérer un client difficile, comment rester discret sur un réseau, comment automatiser les tâches répétitives avec Bash/Python. Chaque stagiaire dispose d’un accès à un laboratoire privé (VPN) avec une dizaine de machines vulnérables de difficulté croissante, inspirées des plateformes HackTheBox ou TryHackMe.

Nous proposons également des formations sur mesure pour les entreprises qui souhaitent monter en compétence leurs équipes IT sur la détection et la réponse aux incidents – en utilisant les mêmes outils que les attaquants pour mieux se défendre. La formation peut être dispensée en présentiel dans nos locaux ou à distance en classe virtuelle, avec des horaires adaptés aux contraintes professionnelles.

Les témoignages de nos anciens apprenants, disponibles sur notre site, soulignent la qualité pédagogique et la convivialité des sessions. Beaucoup ont réussi leur première mission de pentest en freelance ou obtenu une promotion en interne grâce aux compétences acquises chez ISOSET. Rejoindre nos formations, c’est aussi intégrer une communauté d’entraide où les anciens aident les nouveaux sur des challenges techniques.

Kali Linux, Metasploit, Burp Suite : l’arsenal gagnant pour sécuriser votre système d’information

Le monde de la cybersécurité ne cesse de se complexifier. Les attaquants utilisent des outils toujours plus sophistiqués, mais les défenseurs disposent des mêmes armes. Apprendre à manier Kali Linux, Metasploit et Burp Suite, c’est acquérir la capacité de penser comme un attaquant, de découvrir les failles avant qu’elles ne soient exploitées, et de prouver l’efficacité des correctifs. Ces compétences sont aujourd’hui recherchées par toutes les entreprises soucieuses de leur sécurité – banques, opérateurs critiques, e-commerçants, éditeurs de logiciels.

Une formation professionnelle est le meilleur investissement pour maîtriser ces outils dans les règles de l’art, en toute légalité et avec une méthodologie éprouvée. ISOSET vous accompagne sur tous les aspects : technique, juridique et organisationnel. N’attendez pas qu’un incident survienne pour former vos équipes. Consultez notre catalogue, parlez à nos conseillers, et devenez un acteur de la sécurité proactive. La prochaine session de pentest débute dans trois semaines – les places sont limitées pour garantir un accompagnement personnalisé.

© ISOSET — Organisme de formation professionnelle

Linkedin : https://fr.linkedin.com/company/isoset
Facebook : https://www.facebook.com/isosetfrance/
Instagram : https://www.instagram.com/isosetsa/

Comments are closed.