CEH Master : le guide pour comprendre le parcours et réussir l'examen Practical
Si tu t'intéresses à la cybersécurité offensive, tu as forcément croisé le sigle CEH (Certified Ethical Hacker), délivré par l'EC-Council. Ce que beaucoup de candidats découvrent plus tard, c'est qu'il existe un niveau au-dessus : le CEH Master. Dans cet article, je t'explique ce que c'est, comment l'obtenir, et je partage l'aide-mémoire que j'ai construit au fil de ma préparation pour affronter l'épreuve Practical.
C'est quoi le CEH Master ?
Le CEH Master n'est pas un examen à part entière : c'est une **double certification**. Pour l'obtenir, il faut réussir successivement deux épreuves complémentaires.
1. CEH (ANSI) — l'examen théorique
C'est la certification "classique" CEH, celle que la plupart des gens connaissent :
- QCM de plusieurs centaines de questions (généralement 125), couvrant la méthodologie du hacking éthique, les phases d'une attaque (reconnaissance, scan, gain d'accès, maintien d'accès, effacement des traces), les protocoles réseau, la cryptographie, les frameworks légaux, etc.- Il valide les connaissances théoriques : vocabulaire, concepts, familles d'outils, types d'attaques.- Une bonne préparation passe par les cours officiels EC-Council, des banques de questions, et une bonne compréhension conceptuelle plutôt que du par cœur pur.
2. CEH Practical — l'examen pratique
C'est là que ça devient concret. Le CEH Practical est un examen 100% pratique en environnement virtuel, généralement sur une durée de 6 heures, durant laquelle tu dois résoudre une série de scénarios réels dans un lab isolé : scanner un réseau, exploiter une vulnérabilité web, casser un hash, extraire des informations cachées dans un fichier, escalader des privilèges, attaquer un environnement Active Directory, etc.
Contrairement au QCM, il n'y a pas de questions à choix multiples classiques sur ce format : tu dois produire un résultat (un flag, une donnée extraite, un mot de passe cassé...) en utilisant de vrais outils, dans un vrai terminal.
C'est seulement une fois les deux examens réussis que l'EC-Council délivre le titre de CEH Master.
Pourquoi le CEH Practical fait peur (et pourquoi il ne devrait pas)
Le format 6 heures, la pression du chrono, et la diversité des scénarios peuvent impressionner. Mais la bonne nouvelle, c'est que la majorité des scénarios reposent sur un nombre limité de familles d'outils et de méthodologies, que tu peux maîtriser à l'avance. La clé de la réussite, ce n'est pas de tout connaître par cœur, mais d'avoir un réflexe méthodologique : face à un scénario, savoir immédiatement quelle famille d'outil mobiliser.
C'est exactement l'objectif d'un bon aide-mémoire : pas une liste de réponses, mais une boîte à outils organisée par cas d'usage, à laquelle on peut se référer rapidement le jour J.
Mon aide-mémoire CEH Practical (par grandes catégories)
Voici les familles d'outils que j'ai regroupées pendant ma préparation, avec pour chacune une explication de ce qu'elle fait, dans quel contexte de scénario elle intervient, et pourquoi elle est incontournable. Je précise que rien ici n'est spécifique à une session d'examen donnée : ce sont des bases méthodologiques génériques, disponibles publiquement dans la documentation de chaque outil.
🔍 Reconnaissance réseau : Nmap
Nmap (Network Mapper) est presque toujours la première commande que tu tapes dans un scénario, quel qu'il soit. Son rôle est de cartographier une machine ou un réseau entier : quelles machines sont actives, quels ports sont ouverts dessus, et quels services (avec leur version) tournent derrière ces ports.
Concrètement, dans un scénario d'examen, tu commences presque toujours par un scan large pour repérer les hôtes vivants, puis tu affines sur la machine cible pour lister ses ports ouverts. C'est cette étape qui te dit, par exemple, si tu as affaire à un contrôleur de domaine Active Directory (présence des ports Kerberos et LDAP), à un serveur web, à un partage de fichiers Windows (SMB), ou à un service d'administration à distance (SSH, RDP).
Un réflexe important : toujours filtrer l'affichage pour ne montrer que les ports ouverts, sinon le résultat devient illisible sur une plage d'adresses entière. Un autre réflexe utile : Nmap dispose d'options pour détecter la version précise d'un service, et même de scripts capables de croiser cette version avec des bases de vulnérabilités connues (CVE) — ce qui te donne souvent directement la piste d'exploitation à suivre. Enfin, si une machine ne répond pas au ping classique (parce qu'un pare-feu bloque les paquets ICMP), il existe une option pour forcer le scan en considérant la cible comme active malgré tout.
💉 Injection SQL : SQLmap et Burp Suite
L'injection SQL est une des vulnérabilités web les plus classiques : elle consiste à manipuler un champ de formulaire ou un paramètre d'URL pour que la base de données exécute une requête différente de celle prévue par le développeur — jusqu'à, dans le pire des cas, contourner une authentification ou extraire l'intégralité d'une base de données.
Sur ce type de scénario, il y a généralement deux approches complémentaires. La première consiste à repérer un formulaire de connexion vulnérable et à tester des motifs d'injection classiques qui transforment la condition de vérification du mot de passe en une condition toujours vraie, ce qui permet de se connecter sans connaître le vrai mot de passe. La seconde consiste à automatiser l'exploration de la base avec SQLmap, un outil dédié qui prend en entrée soit l'URL et le cookie de session (récupérable via les outils de développement du navigateur), soit une requête HTTP complète capturée par un proxy comme Burp Suite. SQLmap se charge ensuite de lister les bases de données présentes, puis leurs tables, puis d'extraire le contenu qui t'intéresse.
Burp Suite, de son côté, est un proxy qui s'intercale entre ton navigateur et le site cible : il te permet de voir, intercepter et modifier chaque requête HTTP avant qu'elle ne parte. C'est l'outil idéal quand tu n'as pas facilement accès au cookie de session depuis le navigateur, ou quand tu veux manipuler manuellement un paramètre d'URL pour tester une faille de type contrôle d'accès (voir plus bas, IDOR). Il dispose aussi d'un module de brute-force intégré (Intruder) qui permet d'automatiser des tentatives de connexion en faisant varier un champ précis, comme le mot de passe, à partir d'une liste de valeurs.
🌐 Scan applicatif web : OWASP ZAP et WPScan
Quand le scénario porte sur un site web dans son ensemble plutôt que sur une faille précise, deux outils prennent le relais. OWASP ZAP (Zed Attack Proxy) est un scanner de vulnérabilités web automatisé : tu lui donnes une URL, tu lances un scan automatique, et il explore le site à ta place en testant les failles courantes (injections, XSS, mauvaises configurations de sécurité...). Les résultats apparaissent sous forme d'alertes classées par niveau de gravité, ce qui te permet de prioriser rapidement ce qui vaut la peine d'être creusé.
WPScan, lui, est spécialisé dans les sites construits avec WordPress, un système de gestion de contenu extrêmement répandu. Il permet d'énumérer les utilisateurs enregistrés sur le site, de repérer les plugins ou thèmes installés (souvent la principale source de vulnérabilités sur WordPress), et de tenter un brute-force de connexion à partir de listes d'utilisateurs et de mots de passe.
Un point utile à retenir : si un outil dédié comme WPScan échoue ou n'est pas disponible, Metasploit dispose souvent d'un module auxiliaire équivalent (par exemple pour énumérer les comptes WordPress), ce qui permet de rester bloqué sur un scénario faute d'un seul outil.
💪 Brute force : Hydra
Hydra est un outil de brute-force réseau : il teste automatiquement de nombreuses combinaisons d'identifiants et de mots de passe contre un service donné jusqu'à trouver la bonne combinaison, ou jusqu'à épuiser la liste fournie. Il fonctionne contre une grande variété de protocoles — connexion SSH, bureau à distance RDP, FTP, partages SMB — et accepte soit un identifiant unique avec une liste de mots de passe, soit une liste d'identifiants combinée à une liste de mots de passe.
Le point important à retenir pour la gestion du temps en examen : une attaque par brute-force peut prendre plusieurs minutes, voire davantage selon la taille des listes utilisées. La bonne pratique consiste à lancer l'attaque en arrière-plan (dans un terminal dédié) puis à continuer à travailler sur d'autres questions du scénario pendant qu'elle tourne, plutôt que de rester à regarder l'écran.
🦈 Analyse réseau : Wireshark
Wireshark est un analyseur de trafic réseau : il permet d'ouvrir une capture de paquets (un fichier contenant tout le trafic échangé sur un réseau à un instant donné) et de l'explorer en détail, paquet par paquet. Dans un scénario d'examen, on te donne généralement un fichier de capture et on te demande d'y retrouver une information précise : un mot de passe transmis en clair, l'adresse d'une machine attaquante, ou la nature d'une attaque en cours.
Le filtrage est la compétence clé ici : Wireshark permet de restreindre l'affichage par adresse IP source ou destination, par protocole (HTTP pour le web, MQTT pour des objets connectés, etc.), ou encore par combinaison de drapeaux TCP pour repérer un scan ou une attaque par déni de service. Pour retrouver des identifiants envoyés via un formulaire web, on cherche typiquement les requêtes de type POST puis on suit le flux TCP correspondant pour lire le contenu échangé en clair. Une fonction de recherche de texte permet aussi de chercher directement une chaîne comme un nom de champ de mot de passe dans le détail des paquets. Enfin, les statistiques intégrées (répartition par adresses, par protocole) donnent une vue d'ensemble rapide de qui communique avec qui sur la capture.
🎯 Exploitation : Metasploit et msfvenom
Metasploit est un framework d'exploitation : une bibliothèque de modules prêts à l'emploi permettant d'exploiter des vulnérabilités connues sur des logiciels ou services précis. msfvenom, son complément, sert à générer des payloads — des programmes malveillants sur mesure, adaptés au contexte de l'attaque (par exemple un script PHP si la cible accepte l'upload de fichiers sur un serveur web).
Le schéma classique d'un scénario d'exploitation par upload de fichier fonctionne en plusieurs temps : on génère d'abord un payload de type reverse shell, conçu pour se connecter en retour vers la machine de l'attaquant une fois exécuté sur la cible. On met ensuite en écoute un "handler" dans Metasploit, configuré avec exactement la même adresse et le même port que ceux utilisés à la génération du payload — c'est l'erreur la plus fréquente : oublier de préciser le type de payload attendu sur le listener, ce qui empêche la connexion de s'établir correctement. On téléverse enfin le fichier généré via la faille identifiée sur le site, puis on déclenche son exécution en accédant à son URL : la connexion retour arrive alors dans Metasploit, qui te donne un accès shell sur la machine cible.
Pour l'exploitation de vulnérabilités connues sur des applications spécifiques (comme certains CMS), Metasploit permet de rechercher un module par mot-clé, d'afficher les cibles compatibles disponibles, et de changer de cible si la première tentative échoue — un scénario donné peut nécessiter d'essayer plusieurs variantes avant de trouver celle qui fonctionne sur l'environnement précis proposé.
🖼️ Stéganographie
La stéganographie consiste à dissimuler une information (texte, fichier) à l'intérieur d'un autre fichier, en apparence anodin — souvent une image. Les scénarios d'examen sur ce thème te donnent un fichier et te demandent d'en extraire le contenu caché, parfois protégé par un mot de passe.
L'outil à utiliser dépend du format du fichier porteur. Pour les images au format BMP, on utilise généralement un outil graphique dédié à l'extraction de données cachées, où il suffit de sélectionner le fichier et de lancer l'extraction. Pour les fichiers JPG et d'autres formats, un outil en ligne de commande spécialisé permet la même opération, avec ou sans mot de passe selon le cas. Sous Windows, il existe également des équivalents en ligne de commande adaptés aux fichiers texte, une fois l'outil correspondant téléchargé et décompressé.
🔐 Hachage et cryptographie
Un hash est une empreinte numérique unique calculée à partir d'un fichier ou d'un mot de passe : il permet de vérifier l'intégrité d'une donnée, ou dans le cadre offensif, de "casser" un mot de passe en comparant son empreinte à celles d'une liste de mots de passe connus (une wordlist).
Pour identifier un hash inconnu et tenter de retrouver le mot de passe d'origine, on peut s'appuyer sur des services en ligne de lookup, ou sur des outils locaux de cassage par dictionnaire. Sous Linux comme sous Windows (PowerShell), des commandes natives permettent de calculer le hash d'un fichier selon différents algorithmes, utile pour vérifier qu'un fichier n'a pas été modifié. Côté chiffrement, des logiciels dédiés permettent de monter des volumes chiffrés ou de déchiffrer des fichiers à partir d'un mot de passe. Enfin, le calcul d'entropie d'un fichier (une mesure de son "désordre" statistique) est une technique utile pour deviner si un fichier est chiffré ou compressé, information qui oriente vers la bonne méthode d'analyse.
📱 Mobile : Android
Certains scénarios portent sur un appareil Android exposé sur le réseau, généralement via le port utilisé par le protocole de débogage ADB (Android Debug Bridge). Un scan réseau ciblé sur ce port permet de repérer l'appareil. Une fois la connexion établie via ADB, il est possible d'ouvrir un shell interactif sur l'appareil, d'en explorer le système de fichiers (notamment le stockage utilisateur), puis de récupérer des fichiers d'intérêt sur la machine de l'attaquant.
📶 Wi-Fi : Aircrack-ng
Aircrack-ng est la suite d'outils de référence pour l'audit de réseaux Wi-Fi. Dans un scénario d'examen, on te fournit généralement une capture de trafic Wi-Fi contenant la poignée de main (handshake) d'authentification WPA/WPA2, et l'objectif est de retrouver le mot de passe du réseau en testant une liste de mots de passe contre cette capture.
📁 Transfert de fichiers entre machines
Une fois un accès obtenu sur une machine, il faut souvent en exfiltrer un fichier vers ta propre machine, ou au contraire y déposer un outil. Plusieurs méthodes rapides existent : lancer un serveur web minimal directement depuis Python pour rendre un dossier accessible en quelques secondes, s'appuyer sur un serveur web déjà présent sur la machine compromise (comme Apache) en y déposant le fichier dans le dossier public, ou encore utiliser le partage réseau natif entre systèmes Windows et Linux pour copier un fichier via l'explorateur de fichiers.
🔑 Active Directory
C'est l'une des parties les plus denses des scénarios récents, car elle enchaîne plusieurs étapes. Tout commence par une reconnaissance classique : identifier les machines actives sur le réseau, puis repérer parmi elles celle qui joue le rôle de contrôleur de domaine, généralement reconnaissable à la combinaison de ports Kerberos, LDAP et SMB qu'elle expose. Un outil d'énumération SMB permet ensuite de récupérer le nom de domaine complet de l'environnement Active Directory.
Vient ensuite l'énumération des comptes utilisateurs, qui peut se faire de plusieurs façons selon la configuration de la cible : si l'accès invité est autorisé sur les partages, on peut parfois lister directement les comptes existants via un brute-force des identifiants internes (RID) exposés par le partage administratif. Si cette voie est fermée, une énumération via le protocole Kerberos, combinée à une liste de noms d'utilisateurs probables, permet de déterminer lesquels existent réellement dans l'annuaire.
Une fois une liste de comptes valides obtenue, l'étape suivante consiste à essayer de récupérer des identifiants exploitables. Une technique classique, l'AS-REP Roasting, cible spécifiquement les comptes configurés sans pré-authentification Kerberos : elle permet de récupérer un élément chiffré avec le mot de passe du compte, que l'on peut ensuite tenter de casser hors ligne avec un outil de cassage de mots de passe.
🗂️ Divers indispensables
Quelques outils et réflexes transverses reviennent régulièrement, tous scénarios confondus. La lecture des métadonnées d'un fichier (EXIF) permet souvent de retrouver des informations qu'on ne soupçonnerait pas dans une simple image : nom de l'auteur, coordonnées GPS, logiciel utilisé pour la créer. La résolution DNS et l'énumération de zone permettent de recueillir des informations sur l'infrastructure d'un domaine (serveurs de noms, serveurs de messagerie...). Il est également essentiel de comprendre le principe des failles de type IDOR (Insecure Direct Object Reference) : elles consistent simplement à modifier un identifiant dans une URL (un numéro de page, un identifiant d'utilisateur...) pour accéder à une ressource qui ne devrait normalement pas être visible depuis ton compte. Enfin, sur les scénarios Linux, il faut maîtriser les bases de l'élévation de privilèges (vérifier son niveau d'accès actuel et les moyens disponibles pour obtenir les droits administrateur) ainsi que les commandes de recherche de fichiers sur le système, utiles pour localiser un indice ou un fichier de configuration.
Conseils pour le jour de l'examen
Au-delà des outils, voici ce qui a le plus compté pour moi :
1.Gère ton temps comme une ressource rare. Six heures paraissent longues, mais entre la lecture des scénarios, les manipulations et les scans qui prennent du temps, ça passe vite. Lance les opérations longues (brute-force, scans complets) puis enchaîne sur d'autres questions en parallèle.
2.Entraîne-toi en conditions réelles avant le jour J. Les labs officiels type CEH Engage, refaits plusieurs fois, permettent d'automatiser les réflexes et de ne plus perdre de temps sur la syntaxe des outils.
3.Lis chaque énoncé attentivement. Le format de réponse attendu (une adresse IP, un hash, un nom d'utilisateur...) est presque toujours précisé — une réponse juste mais mal formatée peut être comptée comme fausse.
4.Vérifie les ressources autorisées avant l'examen. Selon les sessions, tes propres notes, une recherche web, voire des outils d'IA peuvent être tolérés avec l'accord du surveillant — renseigne-toi précisément sur le règlement en vigueur pour ta session.
5.Si un exploit échoue, ne t'acharne pas sur la même méthode. Vérifie les cibles/variantes disponibles pour un module donné, ou bascule vers un outil équivalent (par exemple, un scanner dédié qui échoue peut souvent être remplacé par un module Metasploit correspondant).
6.Construis ton propre aide-mémoire en amont. Le simple fait de recopier et organiser les commandes par catégorie pendant ta préparation t'aide à mémoriser leur syntaxe — tu n'auras presque plus besoin de le consulter le jour J.
En résumé
Le titre de CEH Master récompense un parcours complet : la théorie du CEH classique, puis la mise en pratique concrète et chronométrée du CEH Practical. La difficulté du Practical ne vient pas de la complexité de chaque outil pris isolément, mais de la capacité à naviguer rapidement entre les familles d'outils selon le type de scénario rencontré. Un aide-mémoire structuré par catégorie (reconnaissance, brute-force, web, stéganographie, cryptographie, Active Directory...) est probablement l'investissement de préparation le plus rentable que tu puisses faire.
Bon courage à celles et ceux qui se lancent dans ce parcours !