Systèmes d'exploitation Pentest

• Kali Linux

  L’arme lourde, référence pentest multi-tools, support large matériel.

  Site Officiel

• Parrot Security OS

  Axé privacy, forensics, léger/discret, alternative top à Kali.

  Site Officiel

• BlackArch

  4000+ tools pour archlinux users, extrême geek & script lovers.

  Site Officiel

• BackBox

  Basé Ubuntu, très accessible, ciblant tests réseau & forensic.

  Site Officiel

Analyse Réseau

• Nmap

  Scan de ports/Fingerprint, scripts NSE, indispensable en mapping.

  Site Officiel

• Wireshark

  Analyse protocolaire profonde, parsing de paquets tous formats.

  Site Officiel

• Bettercap

  MITM, spoofing, sniffing avancé & manipulation live du réseau.

  Site Officiel

• Scapy

  Librairie Python pour manipulation/greffe de paquets custom.

  Site Officiel

• Netcat

  “Couteau suisse” réseau : port scanner, shell, binaire ultra léger.

  SourceForge

Sans Fil (WiFi/Bluetooth)

• Aircrack-ng

  Audit et attaque WiFi, cassage de clés WPA/WEP, suite complète.

  Site Officiel

• Kismet

  Sniffer WiFi/Bluetooth, détection de réseaux/clients, wardriving.

  Site Officiel

• Wifite

  Automatisation d'attaques WiFi : handshake, WPS, cracking scripté.

  GitHub

• BlueMaho

  Suite offensive/monitoring Bluetooth.

  Kali Tools

Bruteforce & Cracking

• John the Ripper

  Cracking multi-formats, CPU, combos smart (“rule-based”).

  Site Officiel

• Hydra

  Bruteforce massivement multi-protocoles, binding wordlists/threads.

  GitHub

• Hashcat

  Cracking hash/clé, GPU ready, ultra rapide, très documenté.

  Site Officiel

• Cewl

  Générateur intelligent de wordlists sur base de sites web.

  DigiNinja

Exploitation & Post-Exploitation

• Metasploit Framework

  Exploits, payloads, automation offensive, énorme base de modules.

  Site Officiel

• LinPEAS

  Enum Linux pour privesc (permission, SUID, failles système…)

  GitHub

• WinPEAS

  Enum Windows pour privesc, autoruns, secrets tokens.

  GitHub

• Mimikatz

  Dump credentials, hashes, tickets MSLSA sous Windows.

  GitHub

• PowerSploit

  Suite post-exploitation Windows (powershell), AV bypass, lateral move.

  GitHub

Vulnérabilités Web (Sites & API)

• OWASP ZAP

  DAST open source complet : appli web, API REST, XSS, injection, SSRF.

  Site Officiel

• Wapiti

  Scan XSS, file disclosure, injections, automatisé REST/GraphQL.

  SourceForge

• Vega

  Scanner GUI, détection XSS/SQli/LFI, REST API ready.

  GitHub

• sqlmap

  Detection et exploitation automatisées d'injection SQL, REST inclus.

  Site Officiel

• XSStrike

  Scanner XSS avancé, bypass blacklist, automatisation attaque JS.

  GitHub

• APIsec

  DAST open source ciblé API, compatible OpenAPI/Swagger, détecte injections avancées.

  GitHub

Discovery, Burp-like & Analyse Contents

• Burp Suite Community

  WebProxy

  Proxy interactif, intercept/modify, scanner manual, plugins gratuits.

  Site Officiel

• Gobuster

  Bruteforce auto directories/files/hostnames sur sites et API.

  GitHub

• Dirbuster

  Bruteforce contenu, detection fichiers/folders cachés basé wordlist.

  OWASP

• ffuf

  Super rapide, brute sur routes, APIs, méthodes HTTP ; REST et GraphQL ready.

  GitHub

DevSecOps (DAST, SCA, SAST)

• DAST – OWASP ZAP

  Scan dynamique d'appli web et API (scripting avancé plugin).

  Site Officiel

• SCA – Dependency-Track

  Analyse SPDX, SBOM, vulnérabilités open source, comparatif CVE/niveau patch.

  Site Officiel

• SCA – OWASP Dependency-Check

  Scan dépendances, rapports, intégrable pipeline CI/CD.

  Site Officiel

• SAST – Semgrep

  Static analysis très rapide, règles custom, multi-langages.

  Site Officiel

• SAST – SonarQube Community

  Analyse statique, gestion vulnérabilités, code smell, extensible plugins.

  Site Officiel

• SCA – Trivy

  Audit vulnérabilité containers et dépendances, CI ready.

  GitHub

Tests de clés & Pentest Crypto

• RsaCtfTool

  Dumper, factoriser, tester la solidité des clés RSA publiques, automatisé.

  GitHub

• CryptoLyzer

  Audit SSL/TLS, force chiffrement, mauvaises implémentations.

  GitHub

• pkcrack

  Brute-force ZIP (PKZIP), rapide et open source.

  GitHub

• hashcat

  Crack

  Supports attaques hybride/dictionnaire, GPU/CPU, multi format/chiffre.

  Site Officiel

Outils IA Cybersécurité & Automatisation

• CAI

  Framework open source multi-modèles IA orienté cyber/détection/scan automatiques.

  Présentation

• Nebula

  CLI AI-ready, pentesting intelligent, workflow auto, reporting généré IA.

  GitHub (exemples)

• SpiderFoot

  OSINT/crawl auto, modules IA, discovery réseaux/sociaux/email.

  Site Officiel

• Counterfit

  Test sécurité modèles IA/ML, simulate attaque/adversarial, open source Microsoft.

  GitHub

• LangChain/Flowise

  Création d’agents IA, no-code, intégration CI ou workflows enquête.

  GitHub Flowise

• n8n

  NoCode workflow automation : usable pour orchestrer séquences pentest/security automatisées.

  Site Officiel