trueNetLab logo
FR
Outils de sécurité pour ingénieurs réseau

Outils de sécurité pour ingénieurs réseau

13 min read
Network Security

Table des matières

Quand on travaille assez longtemps comme ingénieur réseau ou administrateur, les mêmes noms reviennent sans cesse : Nmap, Wireshark, tcpdump, Nessus, Greenbone, Burp Suite, Shodan, Suricata, Snort, Kali Linux, Metasploit, Hashcat, Cobalt Strike et beaucoup d’autres.

Certains font partie de ma boîte à outils de base. D’autres sont des outils spécialisés pour l’AppSec, la forensic, le blue team ou le red team. D’autres encore méritent d’être connus pour être correctement classés, même si je ne les utiliserais jamais moi-même en production.

Le point essentiel est simple : un outil de sécurité n’est pas automatiquement un outil de hacker. Tout dépend du mandat, du système cible, de l’autorisation, de la documentation et du but.

Ce n’est pas le nom d’un outil qui le rend sérieux ou dangereux, mais le contexte dans lequel il est utilisé.

Cet article n’est donc ni un classement ni un guide d’attaque. Je l’écris du point de vue d’un ingénieur réseau qui veut comprendre quels outils aident au quotidien, lesquels relèvent plutôt des équipes sécurité, et où il faut rester volontairement prudent.

Tous les exemples de cet article appartiennent à vos propres systèmes, à des laboratoires, à des environnements de staging ou à des tests explicitement autorisés. Dès qu’une cible tierce sans permission entre en jeu, la limite est franchie.

Les exemples d’installation visent volontairement Linux, surtout Debian, Ubuntu, Kali ou des systèmes similaires avec apt. Je laisse les autres plateformes de côté, car un environnement d’analyse professionnel est plus clair lorsqu’il repose sur un Linux bien séparé.

Le bon environnement de travail

Pour une analyse réseau sérieuse, je n’utiliserais pas mon MacBook Air quotidien. Une machine de tous les jours est trop proche des mails, données client, sessions de navigateur, mots de passe, fichiers privés et accès de production.

Une machine Linux dédiée ou une station de travail Linux est plus professionnelle. Les outils tournent nativement, les cartes réseau se pilotent mieux, les captures sont plus simples, et les interfaces, le routage, les VLANs et les droits de capture se contrôlent plus directement. Beaucoup d’outils restent toutefois mieux placés dans des VMs, car snapshots, projets séparés et retours arrière propres évitent beaucoup de problèmes.

Un setup réaliste pour des analyses professionnelles serait :

  • Machine quotidienne : communication, documentation, tickets, gestionnaire de mots de passe, portails d’administration.
  • Machine Linux d’analyse : disques chiffrés, captures de paquets, diagnostic réseau, labs locaux, scans longs, assez de RAM pour plusieurs VMs.
  • VMs sécurité : Kali ou Parrot pour red team/AppSec, Debian/Ubuntu pour administration et blue team, snapshots avant les tests risqués.
  • Matériel réseau : adaptateur USB Ethernet supplémentaire, 2.5G/10G si nécessaire, petit switch manageable avec VLANs et port mirror/SPAN.
  • Matériel Wi-Fi : adaptateur USB Wi-Fi compatible Linux pour monitor mode et packet injection, uniquement pour tests Wi-Fi autorisés.
  • Lab isolé : cibles de test, systèmes volontairement vulnérables, domaines propres, sites de staging propres, dossiers projet séparés.
  • Environnement client : seulement avec accord, périmètre documenté, fenêtre définie et interlocuteur clair.

Avec une approche très professionnelle, on ajoute aussi des segments réseau séparés : réseau de management, réseau de lab, capteur Suricata ou Zeek et plateforme centrale de logs. Ce n’est pas du luxe : le bon travail sécurité ne vient pas seulement des outils, mais d’une séparation propre.

Pour l’analyse Wi-Fi, une VM n’est souvent que la moitié de la solution ; le point décisif est un passthrough USB propre vers le bon adaptateur.

Séparer les niveaux

Avant de parler des noms, il faut séparer les niveaux. Sinon tout semble identique alors qu’il s’agit de choses très différentes.

Un outil a une tâche claire. Nmap scanne les réseaux, tcpdump capture les paquets, Lynis vérifie des points de hardening.

Un framework est un cadre extensible. Metasploit, Recon-ng ou Volatility apportent modules, workflows et logique propre.

Une plateforme regroupe fonctions, utilisateurs, sources de données, reporting et intégrations. Splunk, Censys, Maltego, Nessus, InsightVM, Core Impact ou Cobalt Strike en sont des exemples.

Une distribution est un système complet avec de nombreux outils préinstallés. Kali Linux et Parrot OS sont des environnements de travail, pas des outils isolés.

Un concept de sécurité est plus abstrait encore. SIEM et IDS/IPS sont des classes de systèmes. Splunk peut fournir des fonctions SIEM ; Snort et Suricata sont des moteurs IDS/IPS concrets.

Visibilité : la base la plus importante

Comme ingénieur réseau, je ne commence pas par les exploits. Je commence par la visibilité : quels systèmes existent, quels ports sont ouverts, quels paquets passent réellement, quels services répondent et quels logs sont disponibles ?

Nmap

Nmap répond à une question simple : qu’est-ce qui est joignable sur le réseau ?

sudo apt install nmap

Je l’utilise pour l’inventaire, les vérifications de firewall et la validation de services.

# Vérification de versions contre une cible de test explicitement autorisée par Nmap
nmap -sV scanme.nmap.org

# Vérifier seulement certains ports
nmap -Pn -p 22,80,443 scanme.nmap.org

# Sauvegarder les résultats pour comparaison
mkdir -p scans
nmap -sV -oA scans/scanme-baseline scanme.nmap.org

# Scanner son propre réseau interne uniquement avec autorisation
nmap -sV 192.168.1.0/24

Je ne lancerais jamais Nmap à l’aveugle contre des réseaux tiers. Dans son propre réseau, il remplace très bien les suppositions par des faits.

tcpdump

tcpdump est la capture de paquets dans sa forme directe. Sur un serveur ou un firewall, il est souvent plus rapide qu’une interface graphique.

sudo apt install tcpdump

# Afficher les interfaces
sudo tcpdump -D

# Observer le DNS sur une interface
# Les noms d'interface varient selon le système : eth0, ens18 ou wlan0
sudo tcpdump -i eth0 -nn port 53

# Capturer le trafic vers un hôte
sudo tcpdump -i eth0 -nn host 192.0.2.10

# Sauvegarder une capture pour Wireshark
sudo tcpdump -i eth0 -nn -w debug.pcap

Les captures peuvent contenir des données sensibles. Je les filtre étroitement, les conserve peu de temps et les partage avec prudence.

Wireshark

Wireshark aide lorsque tcpdump ne suffit plus. tcpdump montre que les paquets existent ; Wireshark aide à comprendre les protocoles.

sudo apt install wireshark

Je l’utilise pour HTTP/TLS, DNS, retransmissions TCP, VoIP, SMB, LDAP et l’analyse de pcaps issus de firewalls ou serveurs.

Shodan

Shodan est un moteur de recherche pour systèmes exposés sur Internet. Pour un ingénieur réseau, il montre à quoi ressemble l’infrastructure vue de l’extérieur.

Je l’utilise comme miroir : quelles IPs, domaines, certificats, bannières ou services oubliés apparaissent publiquement ?

Censys

Censys est proche de Shodan, avec un accent fort sur l’exposition Internet, les certificats, les hôtes et l’attack-surface management.

Sa valeur se trouve dans la comparaison avec l’inventaire interne. Si Censys voit des systèmes inconnus, il y a un problème de processus.

Maltego

Maltego est une plateforme OSINT et d’analyse de liens. Elle rend visibles les relations entre domaines, IPs, personnes, organisations, emails, profils et infrastructures.

theHarvester

theHarvester collecte des informations publiques comme emails, hôtes, sous-domaines ou bannières.

# À utiliser seulement contre ses propres domaines ou des domaines autorisés
theHarvester -d example.com -b crtsh

Les sources changent souvent. Certaines exigent des clés API ou ne renvoient plus de résultats.

Recon-ng

Recon-ng est un framework OSINT avec workspaces et modules. Il est utile pour des workflows de reconnaissance répétables.

Amass

Amass sert à découvrir des actifs externes et des sous-domaines.

# Énumération passive d'un domaine propre ou autorisé
amass enum -passive -d example.com

Il faut toujours vérifier la version locale et la syntaxe actuelle.

OSINT Framework

OSINT Framework n’est pas un programme, mais une collection de liens. Il aide à trouver les bonnes sources OSINT.

Gobuster

Gobuster énumère chemins web, DNS et hôtes virtuels. Je le classe ici dans la visibilité, car il répond à la question : qu’est-ce qui est joignable mais pas documenté ?

sudo apt install gobuster

# Cible de lab ou de staging, pas de sites tiers
gobuster dir -u https://staging.example.test -w wordlists/small.txt

# Énumération VHost dans son propre lab
gobuster vhost -u https://example.test -w wordlists/vhosts.txt

Vulnérabilités et hardening

Une fois la visibilité obtenue, la question devient : qu’est-ce qui est vulnérable, obsolète ou mal configuré ?

La priorisation est essentielle. CVSS décrit surtout la gravité technique. EPSS aide à estimer la probabilité d’exploitation. Le catalogue CISA KEV montre les vulnérabilités déjà exploitées. Les bonnes équipes combinent cela avec leur exposition réelle.

Greenbone / OpenVAS

OpenVAS appartient aujourd’hui au contexte Greenbone : Greenbone Community Edition ou Greenbone Vulnerability Management.

Ce n’est pas un petit outil CLI. C’est un stack de scan et de gestion avec feeds, interface web, base de données et services.

Nessus

Nessus est un scanner commercial de Tenable. Je l’utiliserais dans une fenêtre de scan claire, avec périmètre défini et scans authentifiés lorsque c’est possible.

Lynis

Lynis est un outil pratique d’audit et de hardening Linux.

sudo apt install lynis

sudo lynis audit system

HCL AppScan

HCL AppScan est une gamme AppSec pour tests web, API et logiciel. Elle appartient plutôt aux équipes AppSec et DevSecOps.

InsightVM / Nexpose

InsightVM et Nexpose appartiennent au vulnerability management Rapid7. Leur valeur est la priorisation : ce qui est exploitable, exposé et important métier.

Retina

Retina est surtout un terme legacy. BeyondTrust a annoncé en 2020 son retrait de ce marché et la fin de vie de l’ancien portefeuille Retina.

Web Application Security

Les outils web sont fortement dual-use. Ils appartiennent aux applications propres, aux labs et aux tests autorisés.

Burp Suite

Burp Suite est l’un des outils les plus importants en Web Application Security. Il sert de proxy entre navigateur et application et rend les requêtes HTTP visibles.

ZAP

ZAP est un scanner et proxy web libre, aujourd’hui ZAP ou ZAP by Checkmarx. Je l’utilise pour labs, contrôles internes et tests de base contre staging.

Nikto

Nikto détecte des erreurs de configuration web, fichiers dangereux et versions anciennes.

sudo apt install nikto

nikto -host https://staging.example.test

WPScan

WPScan cible WordPress.

wpscan --url https://wp-staging.example.test

Il est utile après changements de plugins, grosses mises à jour ou avant mise en production.

SQLMap

SQLMap automatise les tests SQL injection. Je ne publierais pas de commandes opérationnelles : l’outil est trop proche de l’exploitation réelle.

AppSpider

AppSpider est un produit DAST Rapid7 pour tests d’applications web et mobiles répétables.

Mots de passe et authentification

Ces outils sont utiles en audit légitime, mais sensibles. Ils demandent autorisation, données isolées et documentation.

John the Ripper

sudo apt install john

# Utiliser seulement avec des hashes de test autorisés
john --wordlist=policy-test.txt hashes.txt
john --show hashes.txt

John aide à tester une politique de mots de passe de façon réaliste.

Hashcat

sudo apt install hashcat

# Mode exemple seulement avec ses propres hashes et sa propre wordlist
hashcat -m 0 hashes.txt policy-test.txt

Si Hashcat trouve vite des mots de passe faibles, il faut mieux penser MFA, règles, blocklists et dépendance aux mots de passe.

Ophcrack

Ophcrack est surtout historique pour d’anciens scénarios de hashes Windows.

Hydra / THC-Hydra

Hydra teste des identifiants contre des services réseau. Je ne publie pas d’exemples : ce type de test en ligne est trop proche d’une attaque.

Medusa

Medusa est similaire à Hydra. Pour les blue teams, l’important est de détecter les échecs nombreux, sources distribuées, lockouts et prompts MFA.

Cain & Abel

Cain & Abel est un outil Windows historique. Aujourd’hui, il sert surtout de contexte.

Wireless Security

Les outils Wi-Fi dépendent fortement du matériel, des drivers, de l’environnement radio et du droit.

Aircrack-ng

sudo apt install aircrack-ng

Aircrack-ng sert en lab à comprendre les faiblesses Wi-Fi, pas à attaquer des points d’accès tiers.

Wifite

Wifite automatise des workflows Wi-Fi. C’est pratique, mais sensible.

Kismet

Kismet est utile pour monitoring, survey, détection de clients et rogue access points.

AirSnort

AirSnort appartient à l’histoire de WEP.

NetStumbler

NetStumbler est un ancien outil Windows de découverte Wi-Fi.

Reaver

Reaver appartient au contexte WPS. La leçon : désactiver WPS, mettre à jour, utiliser de bonnes passphrases et segmenter.

Blue team, monitoring et détection

Les outils blue team décident si un incident est vu ou non.

SIEM

Un SIEM collecte, normalise, corrèle, recherche, alerte et conserve les logs.

Splunk

Splunk est une plateforme de données souvent utilisée comme base SIEM.

Elastic Stack

Elastic Stack offre logs, recherche, dashboards et cas d’usage sécurité, avec une forte responsabilité d’exploitation.

IDS/IPS

IDS détecte, IPS peut bloquer. Placement, règles, tuning et télémétrie décident de la valeur.

Suricata

sudo apt install suricata

mkdir -p suricata-logs
suricata -r sample.pcap -k none -l ./suricata-logs

Snort

# Entrée simple Snort 3 avec pcap
snort -r sample.pcap

# Exemple avec alertes et configuration Snort 3
snort -c /usr/local/etc/snort/snort.lua -r sample.pcap -A alert_fast

# Alternative en lab avec fichier de règles local
snort -R local.rules -r sample.pcap -A alert_fast

Zeek

zeek -r sample.pcap
ls *.log

Zeek transforme le trafic réseau en logs structurés pour comprendre les comportements dans le temps.

NetFlow / IPFIX

NetFlow et IPFIX sont des métadonnées de flux : source, destination, ports, protocole, durée, volume, mais pas le contenu.

Full Packet Capture

Full Packet Capture enregistre le trafic complet. Arkime, Stenographer ou Security Onion peuvent rendre ces captures exploitables.

OSSEC

OSSEC est un IDS hôte : logs, intégrité de fichiers, rootkits, policy checks et active response.

Court détour : OSCO, OSSEC ou OSSIM ?

OSCO n’est pas un nom établi ici. Je vérifierais si OSSEC ou OSSIM était visé.

Forensic et incident response

Ces outils aident à comprendre ce qui s’est passé après un incident.

The Sleuth Kit

sudo apt install sleuthkit

Autopsy

Autopsy est l’interface graphique de forensic numérique basée sur The Sleuth Kit.

Volatility

vol -f memory.raw windows.info
vol -f memory.raw windows.pslist

Guymager

Guymager crée des images forensic bit à bit.

Foremost

sudo apt install foremost

foremost -i disk-image.raw -o recovered-files

Binwalk

sudo apt install binwalk

binwalk firmware.bin
binwalk -e firmware.bin

Red team et dual-use à haut risque

Ces outils peuvent être légitimes dans des missions red team, mais ils sont proches de l’exploitation, du phishing ou du command-and-control.

Metasploit Framework

msfconsole

ExploitDB

ExploitDB est une base d’exploits et de proofs of concept.

Core Impact

Core Impact est une plateforme commerciale de pentest.

Cobalt Strike

Cobalt Strike est une plateforme d’adversary simulation. Elle exige licence, cadre et autorisation clairs.

GoPhish

GoPhish sert aux simulations de phishing et à l’awareness.

HiddenEye

HiddenEye est un toolkit phishing proche de l’abus.

SocialFish

SocialFish est dans le même domaine que HiddenEye.

EvilURL

EvilURL traite des domaines homographes et lookalike.

Evilginx

Evilginx montre pourquoi le MFA classique n’est pas toujours phishing-resistant. La défense passe par FIDO2/WebAuthn, Conditional Access, device binding, protection des tokens et télémétrie de login.

Distributions comme environnement de travail

Une distribution n’est pas un outil. C’est l’établi.

Kali Linux

Kali Linux est une distribution sécurité pour pentesting, forensic, reverse engineering et security research.

Parrot OS

Parrot OS est aussi orientée sécurité et privacy. Je l’utiliserais comme VM ou lab isolé.

Security Onion

Security Onion est la sœur défensive : Network Security Monitoring, threat hunting, log management et incident response.

Ce que je garderais vraiment comme ingénieur réseau

Pour la visibilité : Nmap, tcpdump, Wireshark.

Pour la surface externe : Shodan, Censys, Amass, theHarvester.

Pour hardening et vulnérabilités : Lynis, Greenbone/OpenVAS, Nessus.

Pour le web : Burp Suite, ZAP, Nikto, WPScan.

Pour la détection : Suricata, Snort, OSSEC, plus un SIEM ou stack de logs.

Pour le Network Security Monitoring : Zeek, Security Onion, NetFlow/IPFIX et Full Packet Capture.

Pour la forensic : Autopsy, The Sleuth Kit, Volatility, Guymager, Foremost, Binwalk.

Pour le red team : Metasploit, Cobalt Strike, Core Impact, SQLMap, GoPhish, Evilginx uniquement avec mandat, périmètre et expérience.

Et pour le contexte historique : Cain & Abel, AirSnort, NetStumbler, Retina, Ophcrack.

Conclusion

La meilleure boîte à outils sécurité n’est pas la plus longue. C’est celle où l’on sait pourquoi chaque outil s’y trouve.

Nmap et Wireshark m’aident à comprendre un réseau. Lynis, Nessus et Greenbone rendent les faiblesses visibles. Snort, Suricata, OSSEC et un SIEM évitent de travailler à l’aveugle. Burp, ZAP et WPScan aident côté web. Les outils forensic évitent de seulement deviner après un incident. Les outils red team n’ont de sens qu’avec un mandat propre.

Pour moi, la vraie frontière n’est pas “outil d’admin” contre “outil de hacker”, mais exploitation responsable contre usage non autorisé.

À la prochaine,
Joe

Articles liés

Shadowsocks et Xray : quand le VPN est bloqué

Shadowsocks et Xray : quand le VPN est bloqué

Sophos Connect : pourquoi les admins ne devraient pas traquer des blogs

Sophos Connect : pourquoi les admins ne devraient pas traquer des blogs

Patchday à l'ère de l'IA : le rythme s'accélère

Patchday à l'ère de l'IA : le rythme s'accélère

Rechercher