Cyber Shelf
Florian Amette
25 mai 20265 min de lecture

Les meilleurs livres red team en 2026

The Hacker Playbook 3, Metasploit, Black Hat Python, Black Hat Bash, Black Hat Go, Attacking Network Protocols : six livres red team qui valent votre temps en 2026, dans le bon ordre.

#red-team#pentesting#offensive-tooling#reading-list

Le red teaming, c'est ce qui se passe après l'OSCP. L'examen vous apprend à compromettre des box de lab ; l'engagement vous apprend à atterrir sur un réseau, rester silencieux et écrire le rapport. Ces six livres sont le pont — état d'esprit assumed-breach, fluidité dans les frameworks, et les langages de tooling dans lesquels vous écrirez vraiment vos propres implants.

Les choix en un coup d'œil

  1. The Hacker Playbook 3 — le récit assumed-breach ; comment un engagement se déroule vraiment. Commencez ici.
  2. Metasploit — le guide canonique du framework, seconde édition des mainteneurs originaux.
  3. Black Hat Python — Python comme multitool offensif.
  4. Black Hat Bash — le livre shell pour le moment où vous atterrissez sur Linux.
  5. Black Hat Go — implants en binaire unique et tooling cross-compilé.
  6. Attacking Network Protocols — Forshaw sur comprendre le trafic, pas juste le voir.

Les revues complètes, avec à qui chaque livre est destiné et qui devrait passer son tour, sont en dessous.

Le récit d'engagement

The Hacker Playbook 3 de Peter Kim est le meilleur manuel de terrain red team en imprimé. Scénarios assumed-breach, mouvement latéral, schémas d'évasion AV/EDR, et le rythme opérationnel qui distingue une vraie op d'un CTF. Le transfert d'état d'esprit — vous partez d'un foothold et devez en tirer parti — est la valeur sous-estimée du livre.

Il est de millésime 2018. Cobalt Strike a été déprécié ; Sliver, l'EDR moderne et le tradecraft des attaques d'identité (AAD, abus OAuth, contournements conditional-access) ont tous évolué. Traitez les techniques comme des concepts, pas des commandes.

Si vous passez de l'OSCP aux engagements en entreprise, c'est votre livre.

Le guide framework

Metasploit, seconde édition, est le guide canonique du Framework, écrit par les leads originaux du projet et mis à jour pour l'écosystème moderne. Payloads, modules post-exploitation, sessions, pivoting, développement de modules custom — toute l'intégration de workflow qui fait de Metasploit un multiplicateur de force plutôt qu'une liste d'exploits.

Metasploit brille dans les scénarios lab et type OSCP. Contre l'EDR moderne avec ses callbacks kernel, le playbook est plus nuancé que ce que le livre couvre, mais la connaissance du framework se transfère — vous écrirez juste vos propres loaders.

Le livre Python offensif

Black Hat Python de Justin Seitz et Tim Arnold est le livre qui transforme Python d'un langage de scripting en votre multitool offensif. Sniffers réseau, web scrapers, C2 sur GitHub, capture d'écran, keylogging, extensions Volatility. Court, dense, sans remplissage.

La plupart des red teamers savent assez de Python pour coller des outils. Ce livre, c'est ce qui vous fait arrêter de coller et commencer à écrire.

Le livre Bash offensif

Black Hat Bash de Nick Aleks et Dolev Farhi est le livre pour le moment où vous atterrissez sur une box Linux sans rien d'installé et devez faire du vrai travail avec ce que bash a déjà. Tooling d'élévation de privilèges, mouvement latéral, falsification de logs, et les recettes pratiques où bash brille vraiment.

Le livre suppose une fluidité shell-scripting de base. La valeur est dans les idiomes offensifs — les patterns bash que vous mettriez des mois à découvrir autrement.

Le livre Go offensif

Black Hat Go de Steele, Patten et Kottmann est le choix quand le runtime Python est une responsabilité et que vous avez besoin d'un binaire unique sur un endpoint verrouillé. La cross-compilation, le tiny runtime et le modèle de concurrence de Go en font le bon langage pour beaucoup d'outils façon implant.

À lire une fois que vous avez dépassé Python pour les problèmes de déploiement que Python ne peut pas résoudre. Pas votre premier livre de tooling offensif — votre second.

Le livre protocoles

Attacking Network Protocols de James Forshaw est le rare vétéran de Project Zero qui sait enseigner. Capturer et parser les protocoles depuis la couche 2 jusqu'au RPC niveau application, construire un tooling d'analyse réutilisable, trouver les bugs qui existent entre les spécifications de protocole et les implémentations.

C'est le livre pour le moment où vous cessez de faire confiance à Burp et Wireshark pour vous dire ce qui se passe et commencez à écrire vos propres parsers de protocole. Avancé — à lire après le reste de la liste.

Et Cobalt Strike, Sliver, BloodHound ?

Le tradecraft de tooling offensif moderne contre les cibles bien défendues — OPSEC Cobalt Strike, C2 Sliver, énumération BloodHound, abus Rubeus et Kerberos, chemins d'attaque AD modernes — n'a pas encore de livre canonique unique. Il vit dans les docs BloodHound de SpecterOps, le matériel de cours MaldevAcademy/RTO, et des douzaines de blogs red-team. Les livres de cette liste donnent la fondation ; le tradecraft actuel, vous le ramasserez dans les cours et les blogs.

Le bon ordre

  1. The Hacker Playbook 3 pour le récit d'engagement — à lire en premier, internaliser l'état d'esprit assumed-breach.
  2. Metasploit en parallèle — la fluidité framework débloque tous les livres ultérieurs.
  3. Black Hat Python quand vous avez dépassé les outils des autres.
  4. Black Hat Bash la première fois que bash est la seule chose sur la cible.
  5. Black Hat Go quand le runtime Python est l'obstacle, pas la solution.
  6. Attacking Network Protocols une fois que vous écrivez des parsers de protocole, pas juste que vous attaquez des services connus.

La seule meilleure chose à faire en parallèle de ces livres est de mener des engagements de bout en bout. HackTheBox Pro Labs, Offensive Security PEN-300, exercices internes contre un environnement Active Directory représentatif — une op complète par trimestre, avec le rapport à la fin. Les livres vous disent les mouvements ; les engagements enseignent le tempo opérationnel.

Questions fréquentes

Should I read these books before or after OSCP?
After. OSCP teaches you to compromise lab boxes; the books on this list teach you to land on a corporate network, stay quiet, and write the report. The Hacker Playbook 3 in particular assumes you already have the basic offensive vocabulary that PEN-200 builds. Read the OSCP reading list first, then come here.
Is The Hacker Playbook 3 still useful in 2026 given how much has changed?
Yes, with a framing shift. The 2018 vintage means Cobalt Strike has been deprecated, Sliver and modern C2 have moved on, and identity attacks (AAD, OAuth abuse, conditional-access bypass) postdate the book. Treat the techniques as concepts, not commands. The assumed-breach mindset transfer is the book's enduring value, and that has not aged.
Do I need to read all three Black Hat language books (Python, Bash, Go)?
Eventually, yes — they cover different problems. Python for ad-hoc tooling and orchestration, Bash for the moment you land on Linux with nothing installed, Go for single-binary implants on locked-down endpoints. Most red teamers start with Python, learn Bash as the engagements demand, and reach for Go when Python's runtime becomes the obstacle.
What about Cobalt Strike, Sliver, BloodHound — the modern tradecraft?
Not yet in a single canonical book. The modern offensive-tooling tradecraft against well-defended targets — Cobalt Strike OPSEC, Sliver C2, BloodHound enumeration, Rubeus and Kerberos abuse, modern Active Directory attack paths — lives in SpecterOps documentation, MaldevAcademy/RTO course material, and dozens of red-team blogs. The books on this list give you the foundation; the current tradecraft you pick up from the courses.