Phase 2 du pentest CEH : cartographier hôtes, ports, services et identifier les vulnérabilités exploitables avec Nmap, Nessus et OpenVAS.
Cette leçon suppose la maîtrise de la leçon 1 (recon OSINT, cadre légal). Un environnement Kali Linux 2024.x opérationnel et un lab vulnérable type Metasploitable 2/3 ou VulnHub sont nécessaires. Notions de modèle TCP/IP indispensables (flags TCP, 3-way handshake, état des ports).
Une fois la reconnaissance terminée, le pentester dispose d'une cartographie générale de la cible (sous-domaines, IP publiques, technologies). Vient ensuite la phase 2 — Scanning, qui consiste à interagir directement avec les hôtes pour identifier ports ouverts, services en écoute, versions logicielles et système d'exploitation. Cette phase est active et journalisée côté cible : un IDS bien configuré (Suricata, Snort) la détecte. Le pentester ajuste donc son rythme (-T0 à -T5) selon le RoE.
L'énumération approfondit l'analyse en interrogeant les protocoles applicatifs (SMB, SNMP, LDAP, RDP, SMTP) pour extraire utilisateurs, partages, shares, politiques. Enfin, la vulnerability analysis croise les versions trouvées avec les bases CVE (Common Vulnerabilities and Exposures) du NIST et calcule un score CVSS (Common Vulnerability Scoring System) pour prioriser les exploits.
Selon le rapport Verizon DBIR 2024, 60% des compromissions exploitent une vulnérabilité connue depuis plus de 12 mois. Le scanning rigoureux et la corrélation CVE/CVSS sont donc le levier majeur de remédiation pour le client.
| Scan | Flag Nmap | Principe | Détection IDS |
|---|---|---|---|
| TCP Connect | -sT | 3-way handshake complet | Très élevée |
| SYN Stealth | -sS | SYN puis RST, pas de handshake complet | Modérée |
| FIN | -sF | FIN seul, contourne firewalls stateless | Faible |
| NULL | -sN | Aucun flag, RFC 793 violation | Faible |
| XMAS | -sX | FIN+PSH+URG (sapin de Noël) | Faible |
| UDP | -sU | Datagrammes UDP, lent | Faible |
| Idle / Zombie | -sI zombie | Scan via tiers (IP spoofing) | Nulle (côté pentester) |
nmap -O 192.168.1.0/24 — fingerprinting OS (TCP/IP stack)nmap -sV --version-intensity 9 cible — version servicesnmap -A cible — agressif (OS + version + scripts + traceroute)nmap --script vuln cible — NSE scripts vulnérabilitésnmap -p- -T4 cible — tous les 65535 portsmasscan -p1-65535 --rate 10000 10.0.0.0/24 -oG out.txt puis post-traiter avec Nmap -sV uniquement sur les ports trouvés. Masscan scanne 100x plus vite mais sans détection version.
enum4linux -a 192.168.1.10 — users, groupes, shares, OSsmbclient -L //192.168.1.10 -N — liste shares anonymesnmap --script smb-enum-shares,smb-enum-users 192.168.1.10crackmapexec smb 192.168.1.10 -u '' -p '' — null sessionsnmpwalk -v2c -c public 192.168.1.10 — community string par défautonesixtyone -c communities.txt cibles.txt — brute force community1.3.6.1.4.1.77.1.2.25 (users Windows)ldapsearch -x -H ldap://192.168.1.10 -b "dc=corp,dc=local"nmap --script ldap-search 192.168.1.10Cible : 10.0.2.15 (Metasploitable3 Win2k8). Méthodologie :
nmap -sS -p- -T4 10.0.2.15 -oA scan_fullnmap -sV -p 21,80,135,139,445,3306,3389 10.0.2.15 -oA scan_versionsnmap --script smb-vuln-* 10.0.2.15 -p 445enum4linux-ng -A 10.0.2.15crackmapexec smb 10.0.2.15 -u 'vagrant' -p 'vagrant' --sharesLivrable : tableau ports/services/version + liste vulnérabilités candidates classées par CVSS.
Tenable Nessus Essentials est gratuit pour 16 IP. Scan template Advanced Network Scan avec credentials renforce la détection (passe de 30% à 90% de couverture). Plugins Nessus mis à jour quotidiennement (>200 000 plugins en 2026).
Alternative open-source. Installation Kali : sudo gvm-setup puis interface web https://localhost:9392. Templates Full and fast, Discovery, System Discovery.
Le CVSS (FIRST.org) attribue à chaque CVE un score de 0 à 10 :
| Score CVSS | Sévérité | Exemple CVE |
|---|---|---|
| 9.0 - 10.0 | Critical | Log4Shell CVE-2021-44228 (9.8) |
| 7.0 - 8.9 | High | EternalBlue CVE-2017-0144 (8.1) |
| 4.0 - 6.9 | Medium | Heartbleed CVE-2014-0160 (7.5 en v2 / 5.9 en v3) |
| 0.1 - 3.9 | Low | Info disclosure mineure |
Selon le NIST NVD : « The Common Vulnerability Scoring System provides a way to capture the principal characteristics of a vulnerability and produce a numerical score reflecting its severity. » (NIST CVSS v3.1 Specification, juin 2019).
nmap -f cible — fragmentation paquets (8 octets)nmap --mtu 24 cible — MTU customnmap -D RND:10 cible — decoys (leurres)nmap --source-port 53 cible — usurpation port DNSnmap -T0 cible — paranoid (5min/paquet)--open → bruit excessif dans le rapport (ports filtered/closed inutiles)-Pn sur cible avec ICMP bloqué → 0 host détecté-sU → 50% du trafic réseau invisible--script vuln en production → faux positifs cassent les apps-sS) = compromis vitesse/discrétion-f, -D, -T0, source-port 53Inscrivez-vous pour accéder aux 5 autres leçons + le quiz final.
Créer mon compteChoisis quels cookies tu acceptes — modifiable à tout moment.