Cyber Shelf

// Comparaison

Metasploit vs Practical Social Engineering : lequel lire ?

Deux livres de cybersécurité sur Pentesting, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52025
Metasploit

The Penetration Tester's Guide

David Kennedy, Mati Aharoni, Devon Kearns, Jim O'Gorman, Daniel G. Graham

La deuxième édition du guide définitif No Starch sur le Metasploit Framework, mise à jour par les mainteneurs originaux du projet et de nouveaux contributeurs pour le Framework moderne.

Intermédiaire
4/52022
Practical Social Engineering

A Primer for the Ethical Hacker

Joe Gray

Le manuel de travail de Joe Gray pour le côté social engineering du red team et de la threat intel : recon OSINT, pretexting, infrastructure de phishing, et les frontières légales et éthiques qui séparent le travail professionnel de l'activité criminelle.

À lire si

Pentesters et red teamers qui veulent connaître Metasploit à fond, ou développeurs qui veulent étendre le Framework. Écrit par les leads originaux du projet et mis à jour pour l'écosystème actuel ; le texte canonique sur Metasploit.
Red teamers, enquêteurs fraude et analystes threat intel qui doivent opérationnaliser le social engineering comme discipline plutôt que comme un coup. Le plus fort sur le pipeline OSINT-vers-pretext — Gray montre comment la recon façonne directement ce que sonnera votre appel.

À éviter si

Lecteurs voulant le tradecraft post-exploitation moderne contre des cibles bien défendues. Metasploit brille en lab et dans les scénarios style OSCP ; contre l'EDR moderne avec callbacks kernel, le playbook est plus nuancé que ce livre ne le couvre.
Lecteurs voulant des récits style Mitnick. Gray écrit en praticien, pas en mémorialiste ; le livre est procédural et prudent, pas spectaculaire. Léger aussi sur le tradecraft adversarial deepfake / clone vocal, où le champ a évolué depuis 2022.

Points clés

  • La valeur de Metasploit est l'intégration workflow : payloads, modules post-exploitation, sessions, pivoting tous câblés ensemble. Le livre vous apprend à utiliser le framework comme multiplicateur de force, pas comme liste d'exploits.
  • Les modules custom (auxiliary, exploit, post) sont comment vous transformez Metasploit en votre toolkit ; les chapitres sur le développement de modules sont le matériel au plus haut levier.
  • La 2e édition (2025) est mise à jour pour le Framework moderne, le Linux mainstream et le modèle actuel de Meterpreter ; l'édition 2011 originale est maintenant datée.
  • La recon est l'engagement : un pretext qui ne survit pas au contact avec la réalité de la cible est un échec de recon, pas un échec de livraison.
  • Documentation, scoping et consentement ne sont pas des frais bureaucratiques ; c'est ce qui sépare le social engineering professionnel du social engineering.
  • OSINT et SE sont le même workflow vu sous deux angles — ce qu'on peut trouver est ce qu'on peut prétendre savoir de manière crédible.

Comment ils se comparent

Metasploit et Practical Social Engineering sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Metasploit et Practical Social Engineering couvrent tous les deux Pentesting : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Metasploit

Alternatives à MetasploitQue lire après Metasploit

Practical Social Engineering

Alternatives à Practical Social EngineeringQue lire après Practical Social Engineering

Thématiques liées

Pentesting