4 juin 20269 min de lecture

Les 9 meilleurs livres red team en 2026

9 livres red team à lire en 2026, classés dans l'ordre — de The Hacker Playbook à Evading EDR. Critiques honnêtes : ce qu'enseigne chacun, ce qui date.

#red-team#pentesting#offensive-tooling#reading-list

Le red teaming, c'est ce qui se passe après l'OSCP. L'examen vous apprend à compromettre des box de lab ; l'engagement vous apprend à atterrir sur un réseau, rester silencieux et écrire le rapport. Ces neuf livres sont le pont — état d'esprit assumed-breach, fluidité dans les frameworks, les langages de tooling dans lesquels vous écrirez vraiment vos propres implants, et les internes modernes qui décident si votre tradecraft survit face à une cible surveillée par EDR.

Les choix en un coup d'œil

  1. The Hacker Playbook 3 — le récit assumed-breach ; comment un engagement se déroule vraiment. Commencez ici.
  2. Metasploit — le guide canonique du framework, seconde édition des mainteneurs originaux.
  3. Advanced Penetration Testing — le pont au-delà des frameworks : C2 maison et tradecraft face à des cibles durcies et segmentées.
  4. Black Hat Python — Python comme multitool offensif.
  5. Black Hat Bash — le livre shell pour le moment où vous atterrissez sur Linux.
  6. Black Hat Go — implants en binaire unique et tooling cross-compilé.
  7. Attacking Network Protocols — Forshaw sur comprendre le trafic, pas juste le voir.
  8. Evading EDR — le livre moderne d'évasion EDR, depuis le capteur.
  9. Windows Security Internals — Forshaw encore, sur la façon dont Windows décide vraiment qui peut faire quoi.

Les revues complètes, avec à qui chaque livre est destiné et qui devrait passer son tour, sont en dessous.

Le récit d'engagement

The Hacker Playbook 3 de Peter Kim est le meilleur manuel de terrain red team en imprimé. Scénarios assumed-breach, mouvement latéral, schémas d'évasion AV/EDR, et le rythme opérationnel qui distingue une vraie op d'un CTF. Le transfert d'état d'esprit — vous partez d'un foothold et devez en tirer parti — est la valeur sous-estimée du livre.

Il est de millésime 2018. Cobalt Strike a été déprécié ; Sliver, l'EDR moderne et le tradecraft des attaques d'identité (AAD, abus OAuth, contournements conditional-access) ont tous évolué. Traitez les techniques comme des concepts, pas des commandes.

Si vous passez de l'OSCP aux engagements en entreprise, c'est votre livre.

Le guide framework

Metasploit, seconde édition, est le guide canonique du Framework, écrit par les leads originaux du projet et mis à jour pour l'écosystème moderne. Payloads, modules post-exploitation, sessions, pivoting, développement de modules custom — toute l'intégration de workflow qui fait de Metasploit un multiplicateur de force plutôt qu'une liste d'exploits.

Metasploit brille dans les scénarios lab et type OSCP. Contre l'EDR moderne avec ses callbacks kernel, le playbook est plus nuancé que ce que le livre couvre, mais la connaissance du framework se transfère — vous écrirez juste vos propres loaders.

Le pont au-delà des frameworks

Advanced Penetration Testing de Wil Allsopp est le livre qui demande ce que vous faites quand Metasploit est exactement le mauvais outil — quand la cible est durcie, segmentée et surveillée, et que la seule façon d'entrer est du sur-mesure. C'est un parcours assumed-breach du tradecraft façon APT : écrire son propre C2, livrer des payloads par étapes via l'ingénierie sociale, et traiter la sortie et l'évasion comme un problème de conception que l'on résout avant la mission plutôt qu'une option que l'on active pendant.

Soyons honnêtes sur ce que c'est. Les idées sont vraiment bonnes — l'insistance à construire son propre outillage et à penser en campagne, pas en exploit unique, est le bon état d'esprit — mais les listings de code de 2017 sont inégaux et datés, et l'ensemble se lit comme les anecdotes de guerre d'un consultant chevronné plus que comme un cours structuré. À lire pour l'état d'esprit ; ne copiez-collez pas les listings. Passez votre chemin si vous voulez un manuel de labo propre et reproductible.

Le livre Python offensif

Black Hat Python de Justin Seitz et Tim Arnold est le livre qui transforme Python d'un langage de scripting en votre multitool offensif. Sniffers réseau, web scrapers, C2 sur GitHub, capture d'écran, keylogging, extensions Volatility. Court, dense, sans remplissage.

La plupart des red teamers savent assez de Python pour coller des outils. Ce livre, c'est ce qui vous fait arrêter de coller et commencer à écrire.

Le livre Bash offensif

Black Hat Bash de Nick Aleks et Dolev Farhi est le livre pour le moment où vous atterrissez sur une box Linux sans rien d'installé et devez faire du vrai travail avec ce que bash a déjà. Tooling d'élévation de privilèges, mouvement latéral, falsification de logs, et les recettes pratiques où bash brille vraiment.

Le livre suppose une fluidité shell-scripting de base. La valeur est dans les idiomes offensifs — les patterns bash que vous mettriez des mois à découvrir autrement.

Le livre Go offensif

Black Hat Go de Steele, Patten et Kottmann est le choix quand le runtime Python est une responsabilité et que vous avez besoin d'un binaire unique sur un endpoint verrouillé. La cross-compilation, le tiny runtime et le modèle de concurrence de Go en font le bon langage pour beaucoup d'outils façon implant.

À lire une fois que vous avez dépassé Python pour les problèmes de déploiement que Python ne peut pas résoudre. Pas votre premier livre de tooling offensif — votre second.

Le livre protocoles

Attacking Network Protocols de James Forshaw est le rare vétéran de Project Zero qui sait enseigner. Capturer et parser les protocoles depuis la couche 2 jusqu'au RPC niveau application, construire un tooling d'analyse réutilisable, trouver les bugs qui existent entre les spécifications de protocole et les implémentations.

C'est le livre pour le moment où vous cessez de faire confiance à Burp et Wireshark pour vous dire ce qui se passe et commencez à écrire vos propres parsers de protocole. Avancé — à lire après le reste de la liste.

Le livre d'évasion EDR

Evading EDR de Matt Hand est le livre EDR moderne que le reste de cette liste ne cesse de pointer du doigt. Plutôt que de livrer un recueil de contournements, Hand démonte le capteur composant par composant — ETW, callbacks noyau, minifiltres, AMSI — et vous montre quelle source de télémétrie voit quoi, pour que vous puissiez raisonner sur les angles morts d'un EDR et dériver vos propres évasions au lieu de copier-coller le contournement à la mode.

C'est tout l'enjeu de ce cadrage : les techniques précises vieillissent vite parce que les éditeurs les corrigent, mais le modèle mental de l'EDR-comme-ensemble-de-sources-de-télémétrie survit à n'importe quelle astuce isolée. Le livre suppose que vous êtes à l'aise avec les internes de Windows, le format PE et l'écriture d'outils en C ou C#, et il est exclusivement Windows. Passez votre chemin si vous voulez une liste clé en main de contournements fonctionnels ; lisez-le si vous voulez comprendre la défense assez bien pour la déjouer — et, utilement, il est assez bon sur la défense pour que les équipes bleues le lisent aussi.

Le livre du contrôle d'accès Windows

Windows Security Internals de James Forshaw est la référence en profondeur pour les red teamers qui attaquent Windows et Active Directory au niveau où vivent les bugs intéressants. Forshaw démonte le modèle de sécurité — le SRM, les jetons d'accès, les descripteurs de sécurité, l'ouverture de session, Kerberos — et, surtout, vous donne le PowerShell pour tout interroger vous-même avec sa boîte à outils NtObjectManager. Là où d'autres livres vous disent ce que fait Windows, celui-ci vous montre comment le découvrir, ce qui fait toute la différence entre connaître le modèle et trouver le bug d'élévation de privilèges qui s'y cache.

Il est dense et exigeant, et suppose que vous savez déjà ce qu'est un SID et un jeton d'accès. Il s'agit de mécanismes, pas de politique — si vous voulez une vue d'ensemble de haut niveau ou un guide défensif, cherchez ailleurs. Mais pour quiconque fait du vrai tradecraft Windows ou AD, il n'existe rien de plus proche d'une source de vérité. Le livre le plus avancé de la liste ; à lire en dernier.

Et Cobalt Strike, Sliver, BloodHound ?

L'écart est plus étroit qu'avant. Evading EDR donne désormais la compréhension au niveau du capteur qui manquait à l'art de l'évasion EDR, et Windows Security Internals couvre le modèle de contrôle d'accès sous-jacent aux chemins d'attaque Kerberos et AD. Mais le tradecraft de tooling côté opérateur contre les cibles bien défendues — OPSEC Cobalt Strike, C2 Sliver, énumération BloodHound, abus Rubeus et Kerberos — n'a toujours pas de livre canonique unique. Il vit dans les docs BloodHound de SpecterOps, le matériel de cours MaldevAcademy/RTO, et des douzaines de blogs red-team. Les livres de cette liste donnent la fondation et maintenant les internes ; le tradecraft opérateur actuel, vous le ramasserez encore dans les cours et les blogs.

Le bon ordre

  1. The Hacker Playbook 3 pour le récit d'engagement — à lire en premier, internaliser l'état d'esprit assumed-breach.
  2. Metasploit en parallèle — la fluidité framework débloque tous les livres ultérieurs.
  3. Advanced Penetration Testing ensuite, pour le basculement d'état d'esprit au-delà des frameworks vers le C2 maison et le tradecraft.
  4. Black Hat Python quand vous avez dépassé les outils des autres.
  5. Black Hat Bash la première fois que bash est la seule chose sur la cible.
  6. Black Hat Go quand le runtime Python est l'obstacle, pas la solution.
  7. Attacking Network Protocols une fois que vous écrivez des parsers de protocole, pas juste que vous attaquez des services connus.
  8. Evading EDR quand votre outillage doit survivre sur une cible Windows surveillée.
  9. Windows Security Internals en dernier — la plongée la plus profonde, pour trouver les bugs que le modèle dissimule.

La seule meilleure chose à faire en parallèle de ces livres est de mener des engagements de bout en bout. HackTheBox Pro Labs, Offensive Security PEN-300, exercices internes contre un environnement Active Directory représentatif — une op complète par trimestre, avec le rapport à la fin. Les livres vous disent les mouvements ; les engagements enseignent le tempo opérationnel.

Questions fréquentes

Faut-il lire ces livres avant ou après l'OSCP ?
Après. L'OSCP vous apprend à compromettre des machines de labo ; les livres de cette liste vous apprennent à atterrir sur un réseau d'entreprise, rester discret et rédiger le rapport. The Hacker Playbook 3 en particulier suppose que vous avez déjà le vocabulaire offensif de base que PEN-200 construit. Lisez d'abord la liste OSCP, puis revenez ici.
The Hacker Playbook 3 est-il encore utile en 2026 vu tout ce qui a changé ?
Oui, avec un changement de cadrage. Le millésime 2018 signifie que Cobalt Strike a été abandonné, que Sliver et les C2 modernes ont évolué, et que les attaques d'identité (AAD, abus d'OAuth, contournement d'accès conditionnel) sont postérieures au livre. Traitez les techniques comme des concepts, pas des commandes. Le transfert de l'état d'esprit « assumed breach » est la valeur durable du livre, et celle-ci n'a pas vieilli.
Faut-il lire les trois livres Black Hat (Python, Bash, Go) ?
À terme, oui — ils couvrent des problèmes différents. Python pour l'outillage et l'orchestration ad hoc, Bash pour le moment où vous atterrissez sur Linux sans rien d'installé, Go pour les implants en binaire unique sur des endpoints verrouillés. La plupart des red teamers commencent par Python, apprennent Bash au gré des missions, et se tournent vers Go quand le runtime Python devient l'obstacle.
Et Cobalt Strike, Sliver, BloodHound — le tradecraft moderne ?
Pas encore dans un livre canonique unique. Le tradecraft moderne d'outillage offensif contre des cibles bien défendues — OPSEC Cobalt Strike, C2 Sliver, énumération BloodHound, abus de Rubeus et Kerberos, chemins d'attaque Active Directory modernes — vit dans la documentation SpecterOps, le matériel de cours MaldevAcademy/RTO et des dizaines de blogs red team. Les livres de cette liste vous donnent les fondations ; le tradecraft actuel, vous l'acquérez via les cours.