École Nationale Supérieure de
Techniques Avancées

Résumé

Cet article porte sur les outils de tests d’intrusion automatisés (pentesting). L'objectif de mon stage était d'évaluer et de comparer certains de ces outils - MITRE Caldera, Metasploit Framework et Infection Monkey - dans le cadre du cours "Ethical Hacking" à KTH. Le rapport souligne l'importance des tests d’intrusion automatisés pour les entreprises et les organisations. L'objectif était de tester les performances de chacun des trois outils sur le réseau, en essayant d'exploiter autant de vulnérabilités que possible. L'étude se concentre sur plusieurs scénarios impliquant diverses techniques telles que le piratage de mots de passe, le piratage de sites web, le piratage de hashs, l'injection SQL et l'escalade de privilèges. Outre les exploits eux- mêmes, l'étude les évalue plus généralement en termes de facilité d'utilisation, de nombre d'exploits et de scénarios d'attaque disponibles, d'adaptabilité. Les résultats indiquent que chaque outil présente des forces et des limites distinctes. MITRE Caldera se distingue par sa souplesse en matière de personnalisation et de création d'opérations, mais manque d'autonomie et de modules d'exploitation intégrés pour de nombreuses vulnérabilités. Metasploit Framework offre une large variété d’exploits mais manque d'autonomie et rencontre des difficultés avec l'injection SQL et certains exploits d'escalade de privilèges. Infection Monkey possède une interface facile à utiliser mais n'est pas à la hauteur en raison de ses capacités d'exploitation limitées. Dans l'ensemble, cette étude donne un aperçu des performances et de l'adaptabilité des outils de tests d’intrusion automatisés et permet de réfléchir à leurs améliorations futures.