Le monde du pentest ne dort jamais, et 2025 ne fait pas exception. Entre les nouvelles moutures de distributions phares, les scripts affĂ»tĂ©s pour contourner les dĂ©fenses Microsoft et les dĂ©pĂŽts GitHub toujours plus fournis, les pentesters â les vrais, pas ceux qui lancent Nmap et vont prendre un cafĂ© â ont de quoi sâamuser.
Petit tour dâhorizon des outils rĂ©cents Ă surveiller, Ă tester, voire Ă maĂźtriser si vous voulez rester pertinent face Ă des systĂšmes de plus en plus verrouillĂ©s⊠en thĂ©orie.
đ Kali Linux 2025.2 : plus affĂ»tĂ©e que jamais
Sortie le 14 juin 2025, la version Kali Linux 2025.2 amĂšne son lot de nouveautĂ©s, et pas des moindres. DerriĂšre les classiques mises Ă jour de noyau et correctifs, trois ajouts majeurs attirent lâattention des professionnels du pentest :
- BloodHound Community Edition (CE) : Lâoutil adorĂ© des adeptes de lâActive Directory est dĂ©sormais intĂ©grĂ© nativement. Son analyse graphique des relations dâautorisation dans les environnements AD permet de visualiser et dâexploiter rapidement des chemins dâĂ©lĂ©vation de privilĂšges. Une bĂ©nĂ©diction pour les pentests internes ou les Red Teams.
- CARsenal : Ce nouvel outil est conçu pour lâanalyse des flux CAN (rĂ©seaux internes des vĂ©hicules), et marque une nouvelle Ă©tape vers lâĂ©largissement du champ de la cybersĂ©curitĂ© offensive. Avec la prolifĂ©ration des vĂ©hicules connectĂ©s, CARsenal devient un incontournable pour ceux qui sâintĂ©ressent Ă la sĂ©curitĂ© automobile.
- 13 nouveaux outils sont ajoutĂ©s, couvrant entre autres les domaines suivants : fuzzing, bypass dâantivirus, exploits IoT, et reverse engineering. Kali continue de mĂ©riter son titre de boĂźte Ă outils ultime pour les testeurs dâintrusion.
LâOS se modernise aussi visuellement et optimise ses workflows, notamment via des environnements plus lĂ©gers et une meilleure intĂ©gration de XFCE, GNOME et KDE selon les prĂ©fĂ©rences des utilisateurs.
Voir aussi notre dossier sur Kali : Article 1 â Kali Linux : la boĂźte Ă outils du pentester (et du hacker du dimanche)
đ GitHub â awesome-hacking-lists : la bible actualisĂ©e
La fameuse liste âawesomeâhackingâlistsâ sur GitHub reste un pilier pour les pentesters sĂ©rieux. RĂ©cemment mise Ă jour, elle compile des centaines de ressources classĂ©es par thĂšmes : recon, exfiltration, post-exploitation, OSINT, C2, etc.
Ce repo nâest pas un outil, câest une bibliothĂšque dâoutils, constamment enrichie par la communautĂ©. En 2025, elle inclut maintenant :
- Des liens vers les meilleures cheatsheets mises Ă jour pour Nmap, Wireshark, Powershell, et Metasploit.
- Une section spécifique sur les attaques sur API REST, trÚs utile pour les tests sur les infrastructures modernes.
- Des références croisées avec les nouveaux labs HTB, TryHackMe et VulnHub.
đ Conseil de pro : clonez le repo, stockez-le localement, et crĂ©ez vos propres signets dans Burp ou VS Code pour aller plus vite.
đ§ GitHub â S3cur3Th1sSh1t/Pentest-Tools : tout sauf lĂ©galement inoffensif
Ce dépÎt au nom bien évocateur propose une collection de scripts PowerShell qui ne sont clairement pas faits pour les formations sur la conformité ISO 27001 :
- Bypass AMSI (Anti-Malware Scan Interface) : des techniques subtiles pour contourner la surveillance de scripts malveillants sur Windows Defender, encore efficaces malgré les patchs récents.
- Reverse Shells customisables et difficiles à détecter, avec chiffrement intégré.
- Scanners dâenvironnement pour repĂ©rer les vulnĂ©rabilitĂ©s rĂ©seau ou de configuration (partages SMB ouverts, ports exposĂ©s, comptes Ă privilĂšges).
- Plugins Burp Suite maison, pour aller plus loin que les classiques Intruder et Repeater.
â ïž Attention : lâusage de ces scripts est Ă©videmment rĂ©servĂ© Ă des environnements de test contrĂŽlĂ©s. Ă manier avec prĂ©caution⊠et VPN.
đ± GitHub â PhoneSploit-Pro : Android + ADB + Metasploit = love
Tu veux rejouer Mr. Robot avec ton tĂ©lĂ©phone ? PhoneSploitâPro pousse encore plus loin lâexploitation des tĂ©lĂ©phones Android rootĂ©s ou connectĂ©s via ADB. Le principe est simple : combiner les commandes ADB avec Metasploit pour ouvrir des sessions Meterpreter directement sur le terminal Android ciblĂ©.
Parmi les fonctionnalités :
- Envoi automatique de payloads via TCP.
- RĂ©cupĂ©ration de fichiers, mots de passe Wi-Fi et captures dâĂ©cran.
- ContrÎle caméra et micro à distance (si le périphérique le permet).
Câest un outil Red Team redoutable, mais qui nĂ©cessite un accĂšs ADB â donc souvent un accĂšs physique ou un rĂ©seau trĂšs permissif.
đŻ En rĂ©sumĂ© : un arsenal en pleine Ă©volution
Les nouveautĂ©s de 2025 montrent que la frontiĂšre entre lâoffensif et le dĂ©fensif continue de sâestomper. Chaque outil, chaque script publiĂ© sur GitHub est une double lame : une aide prĂ©cieuse pour les pentesters, mais aussi une menace potentielle entre de mauvaises mains.
Pour les RSSI, lâenjeu est clair : savoir ce qui existe, ce qui circule, ce qui est utilisĂ© par les attaquants. Pour les auditeurs et consultants, câest lâoccasion de renouveler son rĂ©pertoire dâoutils et dâadapter ses mĂ©thodes aux nouvelles surfaces dâattaque.
Et pour les curieux ? Il suffit dâouvrir un terminal Kali, de cloner un repo GitHub et de sâamuser… toujours dans le respect de la loi, bien sĂ»r. đ
