De la débrouille à l’outil mondial du pentest
De ses débuts bricolés à Austin à la création de Metasploit, HD Moore a imposé un standard open source qui a professionnalisé l’offensive security et accéléré la correction des failles. L’acquisition par Rapid7 a décuplé l’adoption, la cadence de release et l’écosystème (Armitage, Cobalt Strike), tandis que Critical.io a révélé l’ampleur des risques UPnP. Avec runZero, Moore s’attaque désormais au cœur du problème: voir et cartographier tous les assets avant de prétendre les sécuriser.
Points clés
- 1981: naissance d’HD Moore à Honolulu; adolescence à Austin; missions de cybersécurité “off the books” pour le DoD à Kelly Air Force Base alors qu’il est encore lycéen.
- Octobre 2003: première version publique de Metasploit (11 exploits), présentée à Hack-in-the-Box Malaisie, avec un positionnement résolument open source malgré les pressions.
- Avril 2004: Metasploit 2.0 (19 exploits, 27 payloads) et architecture modulaire; Spoonm devient lead dev après avoir réécrit des pans du projet.
- Matt Miller (“skape”) conçoit Meterpreter et d’autres avancées de payload; rejoint Microsoft en 2008 et co-signe SEHOP, qui réduit drastiquement les exploits basés sur SEH overflow.
- 2006: “Month of Browser Bugs” révèle quotidiennement des failles (Opera 9, IE6/IE7, etc.) pour accélérer les patchs et inspirer d’autres “Month of Bugs”.
- 2007: réécriture complète en Ruby (≈150 000 lignes, 18 mois) et sortie de Metasploit 3.0, transformant l’outil en véritable plateforme extensible.
- 21 octobre 2009: acquisition par Rapid7; promesse de 5 devs dédiés et de rester open source; résultat: cadence hebdomadaire au lieu de 9–12 mois, base d’utilisateurs de ~33 000 à 200–300 000 mensuels en 2 ans, contributeurs annuels de 17 (2009) à ~150 (2014), plus de commits en 12 mois post-achat que sur les 3 années précédentes.
- Écosystème: Armitage (Raphael Mudge, 2010) démocratise l’UI graphique; Cobalt Strike (2012) s’impose chez les red teams.
- 2012: Critical.io met au jour une faille UPnP affectant 40–50 M d’appareils; 81 M d’IP répondent, 6900 produits touchés chez 1500 fournisseurs, forçant une réponse industrielle.
- 2025: Metasploit dépasse 6000 modules (dont >1500 exploits) et cible PPC/MIPS/ARM pour l’IoT; HD Moore a fondé runZero (ex-Rumble) en 2018, levé 5 M$ (2019) puis 15 M$ (2024) et décroché la mention “Customers’ Choice” de Gartner en CAASM.
À retenir
Morale de l’histoire: on ne protège pas ce qu’on ne voit pas, et on ne patche pas ce qu’on ignore. Commencez par cartographier vos assets (oui, tous), mettez à jour religieusement, et traitez vos services exposés (coucou l’UPnP) comme des invités indésirables. Et si l’open source vous fait peur, rappelez-vous que c’est aussi ce qui a permis au pentest de sortir du club très privé à 30 000 $ l’an — promis, ça pique moins que de découvrir votre réseau grâce à un attaquant.
Sources
