Metasploit : l’outil open source qui révèle toutes les failles d'un réseau

Qu’est-ce que Metasploit ?

Metasploit, ou en version longue, Metasploit Pen Testing Tool, est un outil de cybersécurité très utilisé par les professionnels, et surtout par les Pentesters. Ils l’utilisent notamment pour simuler de nombreux types de cyberattaques en exploitant des failles connues afin de tester la robustesse d’une infrastructure informatique.

D’abord projet open source créé en 2003 par H. D. Moore, en 2009, Metasploit a été racheté par Rapid7, une société spécialisée dans la sécurité informatique. Il existe depuis deux versions de Metasploit :

• Une version pro (Metasploit Pro), qui vous offre une interface conviviale et des fonctionnalités avancées.  
• Le framework Metasploit, open source et gratuit, toujours maintenu par une grande communauté de développeurs.

Qui utilise l’outil Metasploit ?

Metasploit étant un framework très complet, de nombreux profils et métiers de la cybersécurité sont amenés à l’utiliser :

• Les Pentesters l’utilisent pour simuler des cyberattaques et détecter les faiblesses d’un système avant qu’elles ne soient exploitées à mauvais escient.  
• Les Red Teamers peuvent s’en servir pour simuler des attaques d’ampleur, et ainsi tester les mécanismes de réponse aux incidents mis en place par la Blue Team.  
• Les Administrateurs réseau et les Ingénieurs en cybersécurité s’en servent pour tester la robustesse des infrastructures qu’ils gèrent, et pour repérer les problèmes à corriger.  
• Les Chercheurs en cybersécurité s’appuient sur Metasploit pour analyser les vulnérabilités détectées, développer des exploits, ou encore pour transmettre leurs connaissances.  
• Les forces de l’ordre et les agences gouvernementales peuvent l’utiliser lors de leurs enquêtes.  
• Certains hackers malveillants détournent Metasploit et l’utilisent lors de leurs cyberattaques.

Quelles sont les différences entre Metasploit et Cobalt Strike ?

Souvent comparés car ils servent tous deux à simuler des attaques, Metasploit et Cobalt Strike sont pourtant bien différents. Mais la confusion est compréhensible, lorsque l’on sait que jusqu'en 2015, Cobalt Strike était intégré au framework Metasploit. Mais qu’est-ce qui les différencie alors ?

Le framework Metasploit est open source et gratuit. Il est largement utilisé par les Pentesters, les formateurs et les chercheurs pour identifier, exploiter et documenter les failles de sécurité. Facile à prendre en main, il constitue souvent la porte d’entrée idéale dans le monde du pentest.

Cobalt Strike, lui, est un outil commercial prisé des Red Teams, uniquement disponible via l’achat d’une licence. Il propose des fonctionnalités avancées comme le beaconing, le mouvement latéral, ou encore le contrôle post-exploitation furtif, qui permettent de simuler des cyberattaques d’ampleur et discrètes.

Pour autant, Metasploit et Cobalt Strike sont loin d’être en concurrence, et les Red Teamers les utilisent souvent en complément l’un de l’autre.

Est-ce légal d’utiliser Metasploit ?

Cette question est légitime quand on voit tout ce que permet Metasploit. Sachez ainsi qu’il est légal de l’utiliser, mais seulement sous certaines conditions :

• Vous l’utilisez pour tester la sécurité de vos propres infrastructures.  
• Vous disposez d’une autorisation écrite et explicite du propriétaire du système testé.  
• Vous l’utilisez dans un cadre pédagogique, dans des environnements simulés ou avec l’autorisation des propriétaires des infrastructures testées.

Il est ainsi tout à fait légitime d’utiliser Metasploit à des fins de pentesting, pour renforcer la sécurité des systèmes testés.

À l’inverse, ce framework n’est pas un jouet. Si vous vous en servez pour infiltrer des systèmes tiers sans autorisation, que cela soit pour nuire, voler des données, diffuser des malwares, ou même simplement pour vous amuser. vous entrez dans l’illégalité. En France et selon l’article 323-1 du Code pénal, vous risquez alors jusqu’à :

• 3 ans d’emprisonnement et 100 000 € d’amende en cas d’intrusion non autorisée contre un système d’information.  
• 5 ans d’emprisonnement et 150 000 € d’amende si vous avez en plus altéré le fonctionnement de ce système.  
• 7 ans d’emprisonnement et 300 000 € d’amende si vous avez utilisé Metasploit pour attaquer des infrastructures étatiques.

Metasploit est-il gratuit ?

Le Metasploit Framework est open source et gratuit, mais pour l’utiliser, vous devrez être à l’aise avec les interfaces en ligne de commande.

Il existe également une version payante de cet outil, Metasploit Pro, développée par Rapid7, qui vous offre une interface plus intuitive, mais également des fonctionnalités avancées.

Toutefois, si vous mettez seulement les pieds dans le monde de la cybersécurité, la version gratuite de Metasploit devrait largement vous suffire pour vous faire la main.

À quoi sert Metasploit dans la cybersécurité ?

Étant l’un des outils de pentest les plus complets actuellement sur le marché, Metasploit a un grand nombre d’applications en cybersécurité. Les Ethical Hackers peuvent ainsi l’utiliser pour :

• Tester la résistance des systèmes face aux vulnérabilités connues. Metasploit embarque en effet des centaines d’exploits pour vérifier si une infrastructure souffre d’une faille déjà documentée, et aujourd’hui, la majorité des rapports zero day incluent un module Metasploit, permettant au framework de détecter les vulnérabilités même les plus récentes.  
• Simuler des cyberattaques d’ampleur et ainsi mesurer la capacité de défense d’une organisation.  
• Tester la robustesse des mots de passe utilisés grâce aux modules d’attaque par force brute ou de contournement d’authentification. Metasploit permet ainsi d’identifier les mots de passe faible ou réutilisés, et vous pourrez ensuite forcer vos utilisateurs à les modifier pour renforcer votre sécurité.  
• Évaluer la sécurité des réseaux internes en repérant les services exposés et en testant leur niveau de résistance aux intrusions.

Comment fonctionne Metasploit ?

La première chose à savoir pour comprendre comment utiliser Metasploit, c’est que sa version open source fonctionne grâce à une interface en ligne de commande nommée msfconsole.

Étape 1 - Identifier les failles de sécurité

Avant même d’ouvrir Metasploit, vous devrez effectuer une campagne de footprinting pour détecter les vulnérabilités à exploiter.

Pour cela, vous pouvez vous appuyer sur des outils comme Nmap, qui vous permettra de détecter les ports ouverts et les services actifs d’un réseau, ou grâce à un scanner de vulnérabilités comme Nessus, qui vous permettra de détecter les failles déjà documentées dont souffre une infrastructure.

Cette phase de reconnaissance est essentielle, car sans elle, vous ne saurez pas forcément où attaquer.

Étape 2 – Choisir un exploit

Une fois les vulnérabilités d’un système identifiées, vous pourrez lancer votre test d’intrusion à proprement parler. Pour cela, vous devrez choisir un exploit.

Un exploit, c’est un petit programme qui s’appuie sur une faille technique connue pour tenter d’accéder de manière détournée à un système informatique. Pour comprendre, imaginez que la porte de votre appartement claque avec vos clés restées à l’intérieur. L’exploit, dans ce cas, ce serait la radio glissée dans l’encadrement, qui vous permettrait d’ouvrir sans avoir à appeler un serrurier.

Mais lorsque vous découvrez une vulnérabilité, encore faut-il disposer de l’exploit qui permette d’en profiter. Metasploit vous propose justement près de 2 000 exploits prêts à l’emploi, triés dans son immense base de données. Vous n’aurez qu’à choisir celui qui correspond à la vulnérabilité identifiée, et l’outil se chargera du reste.

Étape 3 – Ajouter un payload

Utiliser un exploit pour infiltrer un système, c’est bien. Mais concrètement, que souhaitez-vous faire une fois « à l’intérieur » ? En fonction de vos intentions, vous devrez injecter le payload approprié.

Mais c’est quoi, un « payload » ? Aussi appelé « charge utile » en français, il s’agit en fait d’un morceau de code que vous injectez dans le système cible pour déclencher une action spécifique : ouvrir une session distante, récupérer des fichiers, installer un logiciel malveillant…

Metasploit intègre plus de 500 payloads prêts à l’emploi, aux fonctionnalités très variées. Le plus connu d’entre eux ? Meterpreter, qui vous permet de prendre le contrôle de la machine compromise de manière furtive pour l’espionner ou encore y récupérer des fichiers. Et Metasploit a vraiment tout prévu, puisque le framework vous propose même un outil pour créer des fichiers piégés afin de dissimuler votre payload : msfvenom.

Étape 4 – Lancer l’attaque

Une fois votre exploit et votre payload choisis et configurés, vous pourrez lancer l’attaque via la msfconsole. Si tout se passe comme prévu, Metasploit prendra le contrôle du système ciblé et ouvrira une session distante si vous avez choisi d’utiliser Meterpreter. Vous aurez alors le champ libre pour :

• Exécuter des commandes à distance  
• Explorer les fichiers et dossiers du système compromis  
• Installer une porte dérobée pour reprendre le contrôle du système facilement à l’avenir

Comment installer Metasploit sur votre ordinateur ?

Peu importe votre système d’exploitation, installer Metasploit sur votre ordinateur est relativement simple. Pour ce faire :

1. Rendez-vous sur la documentation officielle de Metasploit pour télécharger la dernière version disponible sous Windows, ou pour obtenir les commandes à entrer dans votre terminal sous macOS ou Linux.  
2. Ouvrez l’installateur pour installer le Metasploit Framework et toutes les dépendances nécessaires sur votre ordinateur.  
3. Si besoin, accordez les permissions demandées à l’outil pour qu’il puisse fonctionner correctement.

Bonne nouvelle : si vous utilisez Kali Linux, la distribution Linux dédiée à la cybersécurité, vous n’aurez même pas besoin de vous embêter puisque Metasploit fait déjà partie des près de 600 outils préinstallés !

Comment se former à la cybersécurité offensive ?

Si vous souhaitez vous former à la cybersécurité offensive, lire un article sur Metasploit est un bon début. Mais cela ne suffira pas pour apprendre à manipuler ce framework dans un cadre légal et professionnel.

Vous voulez développer l’expertise nécessaire pour sécuriser les infrastructures informatiques de votre organisation, ou pour vous reconvertir dans la cybersécurité ? Alors rejoignez notre formation en cybersécurité complète, lors de laquelle vous apprendrez à utiliser de nombreux outils comme Metasploit. Vos 450 heures de formation seront encadrées par des experts et basées en grande partie sur la pratique. L’objectif : vous doter des compétences en cybersécurité nécessaires pour que vous puissiez rapidement trouver votre premier emploi.

Prêt à rejoindre l’aventure Jedha ? Rien de plus simple pour cela :

1. Téléchargez notre syllabus pour découvrir en détail notre offre de formation.  
2. Venez nous rencontrer et nous poser vos questions lors de notre prochaine Soirée Portes Ouvertes en ligne.  
3. Prenez rendez-vous avec notre équipe pour préciser votre projet professionnel et discuter des financements auxquels vous pourriez être éligible.

Questions fréquentes à propos de Metasploit

Qui a inventé Metasploit ?

Metasploit a été créé en 2003 par H.D. Moore, un chercheur en cybersécurité. En 2009, l’outil a été racheté par Rapid7, une société spécialisée dans la cybersécurité, qui se charge de la maintenance de Metasploit Pro, tandis que le Metasploit Framework est maintenu par une vaste communauté de développeurs bénévoles.

Qu'est-ce que Metasploit Rapid7 ?

Metasploit Rapid7 est la version de Metasploit maintenue par l’entreprise américaine Rapid7, qui l’a racheté en 2009 et a développé une offre premium payante pour les entreprises.

Comment s'entraîner sur Metasploit ?

Plusieurs options s’offrent à vous si vous souhaitez vous entraîner à utiliser Metasploit :

• Regarder l’un des nombreux tutoriels Metasploit disponibles sur YouTube.  
• Installer Metasploitable 1 ou 2, des machines virtuelles vulnérables conçues pour apprendre à utiliser Metasploit.  
• Intégrer une formation en cybersécurité complète comme celle proposée par Jedha, où vous apprendrez à utiliser Metasploit dans un cadre professionnel.