Metasploit Framework – Quand HD Moore démocratise le pentesting

En 1994, pendant que les autres mômes collectionnent les cartes Pokémon, un gamin de 13 ans fouille les poubelles derrière les magasins d’informatique. HD Moore ne cherche pas de la bouffe… il cherche des cartes mères cassées, des barrettes RAM défectueuses, et tout ce qui pourrait l’aider à construire SA machine. Chaque jour avant l’aube, il se tape 3 km à pied pour arriver à l’école primaire d’Austin, mais au lieu d’aller directement en cours, il se faufile par la fenêtre du labo informatique et en fin de journée, à la bibliothèque du quartier, il emprunte tous les livres et manuels techniques qu’il peut trouver pour comprendre comment fonctionnent vraiment ces machines.

20 ans plus tard, c’est ce même gamin va créer l’arme de destruction massive préférée des pentesters du monde entier. Vous allez voir, l’histoire est complètement dingue.

HD Moore, Harold David Moore de son vrai nom, naît à Honolulu en 1981. Mais contrairement à ce qu’on pourrait croire, il n’a pas grandi en surfant sur les plages hawaïennes. Sa famille déménage constamment** passant dans 13 États différents pendant les années 80**, avant de finalement poser ses valises à Austin, Texas, au début des années 90.

Et là, c’est le début d’une histoire qu’on pourrait qualifier de “la misère à la richesse” version geek. La famille Moore galère financièrement, et HD l’explique sans détour : “On était pauvres. On déménageait souvent, donc j’étais régulièrement dans un nouvel endroit sans ressources. Fouiller les poubelles, même pour la bouffe et les vêtements, c’était notre mode de vie.”

Mais au lieu de se contenter de survivre, le gamin transforme cette galère en opportunité. Il découvre les ordinateurs Apple II dans le labo informatique de son école primaire d’Austin et c’est le coup de foudre immédiat. Sauf que quand t’as pas les moyens de t’acheter un ordi, tu deviens créatif. HD commence donc à fouiller spécifiquement les poubelles des magasins d’informatique, parcourant Austin en bagnole pour récupérer des pièces détachées.

“Je cherchais des pièces d’ordinateur pour essayer de construire une machine parce que ça me donnait quelque chose avec quoi je pouvais jouer et que je pouvais contrôler. D’un point de vue émotionnel, ça me donnait un certain contrôle sur ma propre vie.”

Et le pari fonctionne ! En arrivant au lycée alternatif Gonzalo Garza, HD avait réussi à assembler un vrai 486-DX fonctionnel uniquement avec des composants de récupération. Son prof de maths et informatique, Christian Walker, se souvient encore de lui : “Je ne pouvais rien lui apprendre. La plupart du temps, les étudiants étaient à Gonzalo parce qu’ils avaient foiré leurs notes. Dans le cas de HD, c’était l’inverse. Il était trop intelligent et pas assez challengé par les autres écoles.”

Pendant que ses potes découvrent MTV et les Tamagotchis, HD Moore plonge alors dans l’univers des BBS (Bulletin Board Systems) et d’IRC. On est dans les années 90, Internet n’existe pas encore vraiment pour le grand public, mais ce gamin de 13-14 ans déchiffre déjà les mystères de l’informatique en mode autodidacte total. Et ses farces de l’époque donnent le ton : il se connecte aux tours radio d’Austin avec son modem pour faire clignoter les lumières, et sa connerie la plus épique, c’est quand il a temporairement coupé l’électricité de tout un magasin K-Mart du nord d’Austin juste pour faire une blague à un pote !

Walker découvre vite les talents de son élève et le recrute pour aider à gérer le réseau informatique de l’école. Et c’est là que ça devient dingue car certains jours, HD prend sa caisse et se tape la route jusqu’à Kelly Air Force Base à San Antonio pour faire du boulot de consultant en cybersécurité pour le Département de la Défense américain. Ils le payent même cash en petites coupures pour le garder “off the books” (hors des registres officiels). Il est un consultant fantôme qui audite les systèmes du DoD alors qu’il n’a même pas fini le lycée !

Cette expérience va être déterminante pour la suite. Moore bosse comme pentester dans une boîte, et il se rend compte d’un truc qui le frustre au plus haut point : trouver des vulnérabilités théoriques, c’est bien, mais il faut pouvoir les exploiter réellement pour prouver qu’elles sont dangereuses. Le problème c’est qu’à l’époque, le monde du hacking, c’était un peu le Far West… Chaque exploit était développé de son côté, aucune standardisation, et une galère monstre pour les utiliser. HD passait son temps à valider et nettoyer du code d’exploit pourri, et ça le gavait au plus haut point.

Été 2003. HD Moore, maintenant dans la vingtaine, a une idée qui va changer le game à jamais. Il imagine un framework unifié qui regrouperait tous les exploits connus dans une interface cohérente et pratique. Mais l’inspiration originale est d’ailleurs assez fun car au départ, Moore voulait créer un jeu réseau en mode texte (façon années 80) qui s’appellerait initialement “BFEG” (l’acronyme devrait parler à tous ceux qui ont joué à DOOM), puis “Overkill”. L’idée était que le réseau local serait représenté comme une grille et les machines actives apparaîtraient comme des points sur la carte. Un peu comme un Pac-Man version hacker, quoi. Mais très vite, l’aspect “jeu” passe au second plan et Moore réalise qu’il est en train de créer quelque chose de bien plus important : la boîte à outil ultime du pentesting.

Le nom du projet ? Metasploit.

Quand il montre son projet à son patron, la réaction est glaciale. “Tu veux mettre ce truc en open source ? Donner des armes aux cybercriminels ? T’es malade ?” Le patron refuse alors catégoriquement que HD utilise Metasploit au boulot. Certains clients menacent même de rompre leurs contrats si HD continue à publier des exploits sur leurs produits. Par exemple, un mec de chez Microsoft n’arrêtait pas d’appeler le CEO de la boîte de HD en disant qu’ils devaient l’empêcher de publier des exploits et le virer, sinon ils supprimeraient la licence de partenariat de l’entreprise. La pression était énorme sur ses collègues, son patron et le CEO pour qu’ils se débarrassent de lui.

HD admet lui-même qu’une partie de Metasploit a été créée “par dépit”, pour faire chier ses détracteurs, ses employeurs, tous ces gardiens de la cybersécurité qui le regardaient de haut. C’est quelque chose qu’il assume totalement ! Sa femme avait même créé un “get HD out of jail fund” au cas où ses activités lui causeraient des problèmes légaux.

Puis en octobre 2003, HD publie la première version publique de Metasploit, quelques jours avant ses 23 ans. Elle contient la bagatelle de… 11 exploits. Quand je pense qu’aujourd’hui Metasploit en contient plusieurs milliers, ça fait sourire, mais déjà, l’essentiel est là, à savoir une interface unifiée, des payloads modulaires, et surtout une philosophie claire.

Il présente alors officiellement son bébé à la conférence Hack-in-the-Box en Malaisie. Et là, c’est le début d’une collaboration épique ! Il rencontre un développeur qui va marquer l’histoire du projet : Spoonm. L’anecdote de leur première rencontre est mythique. Spoonm lui envoie un mail cash : “Your software sucks.” (Ton logiciel, c’est de la merde). La réponse de HD ? “OK, why don’t you rewrite it?” (OK, alors pourquoi tu ne le réécris pas ?). Et devine quoi ? Il l’a fait ! Moore avait compris un truc essentiel sur la communauté hacker comme il l’explique : “Dans la communauté d’exploits, il faut faire appel à l’ego. En faire un défi. C’est de ça qu’ils vivent.”

Cette Metasploit 2.0, sortie en avril 2004, c’est la révolution. 19 exploits, 27 payloads, et surtout une architecture modulaire qui permet de mixer et de matcher les composants. Spoonm devient un développeur lead du projet, et HD avait trouvé sa méthode à savoir pas d’attitude moralisatrice, juste du défi technique pur.

Un autre génie rejoint alors l’équipe peu après… Il s’agit de Matt Miller, alias “skape” et ce mec, c’est le Mozart du code d’exploitation. Développeur le jour, chercheur en sécurité la nuit, skape va créer Meterpreter, le payload ultime de Metasploit. C’est un agent qui s’installe en mémoire sur la machine compromise, invisible, persistant, avec des capacités de post-exploitation hallucinantes. Une simple commande, “hashdump”, et vous récupérez tous les mots de passe du système. Il contribue aussi à plein d’autres trucs comme l’injection VNC et de nombreuses autres avancées de payload. Cette collaboration va durer quelques années jusqu’à ce que skape soit recruté par Microsoft en 2008. C’est drôle quand on sait que Microsoft voulait faire virer HD ! Et fun fact, skape a aussi développé SEHOP, une technologie de mitigation qui a pratiquement tué les exploits basés sur SEH overflow.

Puis en 2007, grosse décision, Metasploit est entièrement réécrit en Ruby. Un travail de titan de 18 mois de développement, et plus de 150 000 lignes de code à écrire from scratch. Metasploit 3.0 sort, et là, c’est plus un outil, c’est une plateforme complète. Interface au top, architecture modulaire, extensibilité infinie… Un pur bonheur pour tout pentester qui se respecte.

Mais HD Moore ne se contente pas de Metasploit car il continue d’innover en permanence. En 2006, il lance le “Month of Browser Bugs” (MoBB), une initiative où il sort une vulnérabilité de navigateur par jour pendant tout le mois de juillet. Les hacks publiés sont soigneusement choisis pour démontrer un concept sans révéler un chemin direct vers l’exécution de code à distance, mais ça fait quand même un tabac ! Il trouve des bugs dans Opera 9, Internet Explorer 6, Internet Explorer 7, et probablement Safari ou Konqueror. L’objectif c’est de forcer les éditeurs à patcher plus vite et sensibiliser le public aux failles de sécurité. Le concept fait tellement de bruit qu’il inspire toute une série d’initiatives similaires : Month of Apple Bugs, Month of PHP Bugs, Month of Kernel Bugs… Moore a littéralement créé un mouvement de disclosure coordonnée.

Mais son projet le plus fou, c’est en 2012 avec Critical.io. Ce projet scanne l’intégralité d’Internet pour identifier les machines vulnérables aux nouvelles failles. Et là, c’est le jackpot puisque Moore découvre une des vulnérabilités les plus critiques de l’histoire d’Internet, une faille UPnP (Universal Plug and Play) qui touche entre 40 et 50 millions d’appareils connectés. Pour vous donner une idée de l’ampleur du truc, avec un simple paquet UDP, on pouvait prendre le contrôle total de millions de routeurs, imprimantes, caméras IP et autres objets connectés. 81 millions d’adresses IP différentes ont répondu aux requêtes UPnP de Rapid7, touchant plus de 6900 produits différents de 1500 fournisseurs ! Une catastrophe potentielle que Moore révèle au grand jour, forçant les constructeurs à réagir en urgence.

2009, année charnière. Le 21 octobre, Rapid7 rachète Metasploit. La communauté open source est en panique totale. “C’est fini, ils vont tout fermer, transformer ça en produit commercial hors de prix !” Les forums s’enflamment, les développeurs menacent de forker le projet. La nouvelle tombe comme un coup de tonnerre, et les réactions sont mitigées. Certains hackers sont carrément pas contents, refusant de contribuer aux produits d’une boîte commerciale.

Mais HD, lui, voit les choses différemment : “C’est plus un buy-in qu’un sell-out”, dit-il. “Il s’agit de faire passer Metasploit au niveau supérieur avec une vraie entreprise et un vrai financement.” Et le pari est osé car HD et ses co-développeurs avaient toujours travaillé sur Metasploit après les heures de bureau, pendant les pauses déjeuner et les week-ends et là, pour la première fois, il peut bosser dessus à temps plein. “Je peux maintenant faire une fonctionnalité en une journée de travail, pas sur tout un week-end… Je suis excité de pouvoir travailler dessus à temps plein.”

HD devient Chief Security Officer puis Chief Research Officer chez Rapid7, mais il garde le contrôle architectural de son bébé jusqu’en 2016. Et là, surprise, non seulement Metasploit Framework reste open source et gratuit, mais Rapid7 investit massivement dedans. Rapid7 promet de financer 5 développeurs à temps plein pour travailler sur le projet et Moore insiste en disant que tout le logiciel développé par la nouvelle équipe restera libre et open source. “Rien de ce que les gens utilisent aujourd’hui ne va disparaître”, assure-t-il. Le pari est gagnant car avec les ressources de Rapid7, Metasploit explose littéralement. Les cycles de release passent de 9-12 mois à une release par semaine. L’équipe de développement passe de quelques bénévoles à une équipe dédiée de 5 chercheurs.

Et les chiffres parlent car au moment où Rapid7 acquiert le projet, ils n’avaient qu’environ 33 000 utilisateurs basés sur les stats subversion. Deux ans plus tard, post-Rapid7, ils étaient passés à 200 000 à 300 000 utilisateurs mensuels ! En 2009, il y avait un total de 17 personnes qui avaient contribué à Metasploit. En 2014, on est passé à environ 150 personnes qui ont contribué à Metasploit cette année-là, et sur les 400 contributeurs environ sur toute la vie de Metasploit, près de la moitié avaient commité quelque chose dans les 12 mois précédant 2014.

Il y a eu plus de commits dans les 12 premiers mois post-acquisition que dans les trois années précédentes !

L’écosystème Metasploit devient alors complètement dingue. Raphael Mudge crée Armitage en 2010, une interface graphique qui rend Metasploit accessible aux noobs du CLI puis plus tard, Mudge développe Cobalt Strike en 2012, qui deviendra l’outil de référence des red teams professionnelles. Les chiffres donnent le vertige. De 11 exploits en 2003, Metasploit passe alors à plus de 1500 exploits intégrés et 4000+ modules d’exploitation en 2025. Le framework contient maintenant plus de 6000 modules au total. Les payloads supportent PPC, MIPS et ARM, permettant de cibler les systèmes embarqués et l’IoT.

En 2016, après 7 ans chez Rapid7, Moore décide alors qu’il est temps de passer à autre chose. Il quitte l’entreprise (tout en restant consultant pour Metasploit) et se lance dans une nouvelle aventure. En 2018, il crée Rumble Network Discovery, qui deviendra plus tard runZero.

Son constat c’est que même avec tous les outils de sécurité du monde, les entreprises se font encore pirater par des machines qu’elles ne connaissent pas. En effet, le problème fondamental, c’est qu’on ne peut pas sécuriser ce qu’on ne voit pas.

Super HD, toujours en train de résoudre les vrais problèmes que l’industrie préfère ignorer ! “C’est vraiment chouette de prendre l’approche que j’avais utilisée précédemment pour la découverte de réseaux externes et de l’appliquer ensuite au côté interne”, dit-il. “Nous pouvons le faire pour les entreprises derrière leur pare-feu et dans leurs réseaux internes et toutes leurs connexions cloud, VPN, et liens multisites et régionaux.”

runZero, c’est donc la réponse de Moore à ce défi. Et contrairement aux scanners de vulnérabilités classiques, son outil se concentre sur la découverte d’assets et la cartographie des réseaux. Sa philosophie sur ce projet c’est “zéro barrière pour le déploiement, zéro inconnu sur votre réseau”. Et visiblement, ça marche puisque runZero lève 5 millions de dollars en 2019, puis 15 millions supplémentaires en 2024. L’entreprise suit même les traces de Metasploit avec une reconnaissance Gartner comme “Customers’ Choice” dans la catégorie CAASM (Cyber Asset Attack Surface Management). Pas mal !!

En 2025, HD Moore reste une figure incontournable de la cybersécurité mondiale et continue de donner des conférences dans les plus gros événements du secteur tels que BSidesSF, RSA Conference, NorthSec. Son talk récent “A Pirate’s Guide to Snake Oil & Security” au NSEC a même fait sensation avec sa critique acerbe de l’industrie de la sécurité. Et son interview récente pour RSA 2025 sur “la mort et la renaissance du vulnerability management” montre qu’il n’a rien perdu de sa vision disruptive.

Bien avant HD Moore, le pentesting était réservé à une élite. Les outils commerciaux coûtaient une fortune (genre Core Impact à 30 000$ par an), les exploits publics étaient pourris, et partager ses connaissances était mal vu. Heureusement HD a tout pété et a démocratisé l’offensive security, légitimé la recherche en sécurité, et créé une communauté mondiale de chercheurs qui collaborent ouvertement.

Ses détracteurs diront qu’il a armé les cybercriminels et c’est vrai que Metasploit est utilisé par les méchants. Mais c’est aussi vrai que sans Metasploit, des milliers d’entreprises n’auraient jamais pu tester correctement leurs défenses, les pentesters indépendants n’auraient jamais pu concurrencer les grosses boîtes de sécu sans cet accès à des outils professionnels. Et quand on lui demande pourquoi il a créé Metasploit, HD répond simplement qu’il en avait marre de valider et nettoyer du code d’exploit pourri. Pas pour la gloire, pas pour l’argent (il a mis des années avant de gagner un centime avec Metasploit), mais juste pour résoudre un problème pratique qui l’emmerdait.

Vingt-deux ans après sa création, Metasploit continue d’évoluer. Les modules pour Kubernetes, les exploits pour le cloud AWS/Azure/GCP, les attaques contre l’IA et le machine learning… Le framework s’adapte constamment aux nouvelles menaces. Les releases hebdomadaires apportent régulièrement de nouveaux modules qui chaînent des vulnérabilités pour des attaques sophistiquées.

Et HD Moore ? Et bien à 44 ans, il continue de hacker, mais cette fois-ci c’est l’industrie de la cybersécurité elle-même qu’il essaie de disrupter avec runZero.

Bref la prochaine fois que vous lancerez msfconsole, pensez à ce gamin faisant les poubelles d’Austin qui a décidé un jour de faire évoluer le milieu du pentest…

Sources : Darknet Diaries Episode 114 – HD, Rapid7 – Metasploit Anniversary, Wikipedia – H.D. Moore, Wikipedia – Metasploit, Threat Picture – HD Moore, O’Reilly – History of Metasploit, Hacker Valley – HD Moore Interview, Dark Reading – runZero, Dark Reading – One Year After Acquisition, Metasploit Official, Cobalt Strike – Raphael Mudge, Rapid7 – Metasploit Documentation, Hacker History – HD Moore, InfoWorld – The mind of HD Moore, Slashdot – Metasploit Project Sold To Rapid7, The Register – UPnP scan shows 50 million network devices open to packet attack, Wikipedia – Month of bugs

Source : korben.info