Metasploit, le couteau suisse du ‘pentester’

Après plus de six mois de développement, la version 2.0 de Metasploit vient d’être mise à la disposition du public par H.D Moore

C’est, pour résumer, un couteau suisse: il permet d’exploiter les plus importantes vulnérabilités qui existent. C’est une sorte d’environnement qui intégre divers « exploits ». Il est utilisé pour faire du « pen-testing », par exemple. En réalité il sert surtout aux apprentis « hackers ». Véritable arsenal pour un élève pirate mais surtout outil précieux pour les experts en tests d’intrusion, Metasploit a pour vocation de devenir l’outil universel des experts en sécurité informatique. Dans la lignée directe des produits commerciaux comme CoreImpact (https://www1.corest.com/products/coreimpact/index.php) ou Canvas (https://www.immunitysec.com/CANVAS/), mais entièrement «Open source», Metasploit Framework se veut être un environnement dédié au développement d’exploits et aux tests de sécurité. Dans la version téléchargeable sur le site www.metasploit.org l’outil offre par défaut une quinzaine d’exploits dont l’utilisation peut être personnalisée grâce à une multitude de « payloads » ou « shellcode » qui permettent d’exploiter de manière différentes les vulnérabilités. Metasploit permet de facilement intégrer vos propres tests, cela nécessite tout de même des compétences dans le langage Perl et C avec lesquels a été développé l’outil. Les puristes pourront utiliser Metasploit en ligne de commande, les moins accros du shell pourront l’utiliser à travers une interface web. Désormais,le piratage est à portée de clic.

Aurélien Cabezon Vulnerabilite.com (c)