Lab CEH avec Kali Linux + DVWA + HTB Academy — cadre légal et setup 2026

Construire un lab pentest légal et fonctionnel : VirtualBox, Kali Linux 2026.1, machines vulnérables locales (DVWA, Metasploitable, OWASP Juice Shop), et plateformes officielles HTB Academy / TryHackMe. Toutes les commandes, le cadre éthique, et les pièges légaux à éviter.

📍 À lire d’abord : Passer le CEH v13 depuis l’Afrique de l’Ouest — Guide complet 2026 pour le cadre général.

⚠️ Cadre éthique strict : ce lab existe pour pratiquer sur des cibles que tu possèdes (machines virtuelles installées sur ton propre PC) ou des plateformes qui autorisent explicitement le pentesting (HTB, TryHackMe). Toute utilisation de ces outils contre un système tiers sans mandat écrit est illégale au Sénégal (loi 2008-12), Côte d’Ivoire (loi 2013-451), et dans tous les pays CEDEAO. La discipline éthique n’est pas optionnelle.

Introduction

Aucun module CEH ne s’apprend en lisant. La cybersécurité offensive est une discipline 100 % pratique : tu dois exécuter chaque attaque dans un environnement contrôlé avant de la comprendre vraiment. Le problème, c’est que les outils du CEH (Nmap, Metasploit, Burp Suite, Hashcat, aircrack-ng) sont aussi les outils des cybercriminels. Les utiliser sur n’importe quelle cible Internet, c’est se garantir une plainte pénale dans tous les pays CEDEAO.

Ce tutoriel construit un lab personnel complet, totalement légal, qui te permet de tout pratiquer : Kali Linux dans VirtualBox, plusieurs machines volontairement vulnérables (DVWA, Metasploitable 2/3, OWASP Juice Shop) en lab interne, plus l’inscription aux deux plateformes pratique légales de référence (HTB Academy et TryHackMe). Trois heures de setup, et tu as un environnement de pratique illimité pour les six prochains mois.

Prérequis

• PC avec 16 Go RAM (8 Go fonctionne mais avec restrictions, 16 Go est l’optimum). 32 Go pour confort.
• 100 Go d’espace disque libre (Kali + 3 VM cibles + snapshots).
• Processeur compatible virtualisation matérielle (Intel VT-x ou AMD-V, activé dans le BIOS — c’est la première vérification).
• Connexion Internet pour les téléchargements initiaux (compter 8-10 Go au total : Kali ISO 4 Go, machines cibles 6 Go).
• Niveau attendu : familiarité Linux ligne de commande, à défaut suivre en parallèle un tutoriel Linux pour débutants.
• Temps estimé : 3 heures pour le setup complet.

Étape 1 — Vérifier la virtualisation matérielle

Avant tout, vérifie que ton CPU supporte VT-x ou AMD-V et que c’est activé dans le BIOS. Sans virtualisation matérielle, les VM tourneront au ralenti.

Sur Windows 10/11, ouvre PowerShell en admin et exécute :

systeminfo | findstr /i "virtualization"

Tu dois voir Virtualization Enabled In Firmware: Yes. Si c’est No, redémarre dans le BIOS/UEFI (touche F2, F10, Suppr selon constructeur), trouve l’option Intel VT-x, AMD-V, SVM Mode ou Virtualization Technology, active-la, sauvegarde et reboot.

Sur Linux, vérifie avec :

egrep -c '(vmx|svm)' /proc/cpuinfo

Si le compteur est > 0, c’est OK.

Étape 2 — Installer VirtualBox 7.x

VirtualBox est gratuit, multi-plateforme, et largement suffisant pour les besoins CEH. VMware Workstation Player est une alternative gratuite avec des performances 5-10 % supérieures, à choisir si tu vises des labs de 10+ VMs simultanées. Pour la majorité, VirtualBox suffit.

Sur Windows :

1. Télécharger depuis https://www.virtualbox.org/wiki/Downloads
2. Choisir : "Windows hosts" (VirtualBox-7.x.x-Win.exe, ~110 Mo)
3. Lancer l'installeur, accepter tous les défauts (réseau peut être brièvement coupé)
4. Télécharger aussi "VirtualBox Extension Pack" (.vbox-extpack)
5. Dans VirtualBox > File > Tools > Extension Pack Manager > Install

L’Extension Pack ajoute le support USB 3.0, RDP intégré, chiffrement disque — utile pour un lab pro.

Sur Ubuntu 22.04/24.04 :

sudo apt update
sudo apt install -y virtualbox virtualbox-ext-pack
sudo usermod -aG vboxusers $USER
# Redémarrer la session

L’ajout au groupe vboxusers permet l’accès aux périphériques USB depuis les VMs sans sudo.

Étape 3 — Télécharger et installer Kali Linux 2026.1

Kali est la distribution Linux de référence pour le pentesting, maintenue par Offensive Security, sortie en versions trimestrielles. La version 2026.1 (sortie février 2026) inclut tous les outils CEH préinstallés. Privilégie la VM image prête à l’emploi, plutôt que l’installation depuis ISO — c’est 30 minutes gagnées.

1. Aller sur https://www.kali.org/get-kali/#kali-virtual-machines
2. Choisir "VirtualBox 64-bit" (~3.5 Go)
3. Télécharger le fichier .ova
4. Dans VirtualBox : File > Import Appliance > Sélectionner le .ova
5. Garder les paramètres par défaut, valider

Avant de démarrer la VM, ajuste les ressources :

Settings > System > Motherboard : RAM 4096-8192 Mo
Settings > System > Processor : 2-4 vCPU (max 50 % de tes coeurs physiques)
Settings > Display : Video Memory 128 Mo, Graphics Controller VBoxSVGA, Enable 3D
Settings > Network : Adapter 1 = NAT (pour Internet) + Adapter 2 = Internal Network
                     "ceh-lab" (pour communication isolée avec les VMs cibles)
Settings > Shared Folders : ajouter un dossier partagé Host ↔ VM si besoin

Démarre Kali. Login par défaut : kali / kali. Première action obligatoire : changer ce mot de passe avec passwd. Ensuite mise à jour complète :

sudo apt update && sudo apt upgrade -y
sudo apt install -y kali-linux-large

Le paquet kali-linux-large ajoute les outils manquants par défaut dans l’image VM (~3 Go supplémentaires). Compte 30-45 minutes pour la mise à jour complète sur connexion 10 Mbps.

Étape 4 — Installer DVWA (Damn Vulnerable Web Application)

DVWA est l’application web volontairement vulnérable la plus utilisée pour pratiquer les attaques OWASP Top 10. On l’installe directement dans Kali (ou dans une VM dédiée pour plus de réalisme).

Méthode rapide via Docker (recommandée) :

sudo apt install -y docker.io
sudo systemctl enable --now docker
sudo usermod -aG docker $USER
# Redémarrer la session
docker run --rm -it -p 80:80 vulnerables/web-dvwa

Désormais DVWA tourne sur http://localhost. Login : admin / password. Premier écran > Setup/Reset DB > Create / Reset Database. Tu peux régler le niveau de difficulté dans DVWA Security (low/medium/high/impossible).

Méthode alternative depuis source si tu veux comprendre l’installation :

sudo apt install -y apache2 mariadb-server php php-mysqli php-gd
sudo systemctl enable --now apache2 mariadb
git clone https://github.com/digininja/DVWA.git
sudo mv DVWA /var/www/html/dvwa
sudo chown -R www-data:www-data /var/www/html/dvwa
sudo cp /var/www/html/dvwa/config/config.inc.php.dist /var/www/html/dvwa/config/config.inc.php
# Éditer config.inc.php pour mettre les credentials de la base
sudo mysql_secure_installation
sudo mysql -e "CREATE DATABASE dvwa; CREATE USER 'dvwa'@'localhost' IDENTIFIED BY 'p@ssw0rd'; GRANT ALL ON dvwa.* TO 'dvwa'@'localhost'; FLUSH PRIVILEGES;"

DVWA accessible alors sur http://localhost/dvwa/setup.php.

Étape 5 — Installer Metasploitable 2 et OWASP Juice Shop

Metasploitable 2 est une VM Ubuntu 8.04 volontairement vulnérable, parfaite pour pratiquer les exploits Metasploit Framework. OWASP Juice Shop est une application web moderne en Node.js avec ~100 challenges classés par difficulté.

Metasploitable 2 :

1. Télécharger depuis https://information.rapid7.com/download-metasploitable-2017.html
   (ou https://sourceforge.net/projects/metasploitable/)
2. Décompresser le .zip → fichier Metasploitable.vmdk
3. Dans VirtualBox : New > Linux > Ubuntu 32-bit > Use existing virtual hard disk file
   > Sélectionner le .vmdk
4. RAM 512 Mo, 1 vCPU
5. Network : Internal Network "ceh-lab" UNIQUEMENT (pas de NAT, pas d'Internet)

⚠️ Critical : ne JAMAIS connecter Metasploitable à Internet. C’est une VM truffée de vulnérabilités exploitables ; un attaquant Internet la compromettrait en secondes et l’utiliserait pour pivoter dans ton réseau. Toujours en Internal Network, isolée.

Login Metasploitable : msfadmin / msfadmin. Récupère son IP avec ifconfig. Depuis Kali, vérifie la connectivité avec ping <IP_metasploitable>.

OWASP Juice Shop :

# Sur Kali
docker run --rm -p 3000:3000 bkimminich/juice-shop

Juice Shop accessible sur http://localhost:3000. Score de progression intégré, parfait pour préparer les modules Web Applications du CEH.

Étape 6 — Configurer le réseau interne du lab

Pour pratiquer les attaques réseau (sniffing, ARP poisoning, MITM) en lab, organise tes VMs sur un réseau interne isolé.

Architecture cible :

┌─────────────────────────────────────────────────┐
│   PC HOST (ton ordi)                            │
│                                                 │
│   ┌────────────┐  NAT (Internet)               │
│   │ KALI Linux │ ←── Adapter 1 ─── eth0        │
│   │            │  Internal "ceh-lab"           │
│   │            │ ←── Adapter 2 ─── eth1        │
│   └─────┬──────┘                               │
│         │ eth1: 10.10.10.10/24                 │
│         │                                       │
│   ┌─────┴────────┐ Internal "ceh-lab"          │
│   │ METASPLOIT  2│  10.10.10.20/24             │
│   └──────────────┘                             │
│                                                 │
│   ┌──────────────┐ Internal "ceh-lab"          │
│   │ DVWA / WIN10 │  10.10.10.30/24             │
│   └──────────────┘                             │
└─────────────────────────────────────────────────┘

Sur chaque VM Kali, ajoute une seconde interface :

sudo ip addr add 10.10.10.10/24 dev eth1
sudo ip link set eth1 up

Pour rendre permanent, édite /etc/network/interfaces ou utilise NetworkManager. Sur Metasploitable, configure de même son interface en 10.10.10.20/24.

Test : ping 10.10.10.20 depuis Kali. Si ça répond, ton réseau interne est opérationnel.

Étape 7 — S’inscrire sur HTB Academy

Hack The Box est la plateforme cybersécurité offensive la plus active au monde. HTB Academy propose des modules d’apprentissage structurés qui couvrent ~70 % du programme CEH v13. La majorité des modules introductifs sont gratuits (5-10 modules) ; les modules avancés coûtent 5-90 cubes (monnaie HTB) qu’on achète à 8 USD/mois pour 100 cubes/mois.

1. Aller sur https://academy.hackthebox.com
2. S'inscrire avec un email valide
3. Compléter le profil (nom, niveau, intérêt)
4. Lancer les modules gratuits dans l'ordre :
   - "Introduction to Networking" (gratuit)
   - "Network Enumeration with Nmap" (gratuit)
   - "Footprinting" (gratuit)
   - "Information Gathering - Web Edition" (gratuit)
   - "Web Requests" (gratuit)
   - "Login Brute Forcing" (gratuit)
   - "SQL Injection Fundamentals" (gratuit ou peu coûteux)

Chaque module dure 2-8 heures. Tu pratiques sur des labs cloud d’HTB (pas besoin d’utiliser ton lab local) — totalement légal car HTB possède l’infrastructure.

Pour l’examen CEH, complète aussi les paths HTB suivants : Penetration Tester (entièrement payant à termes mais excellent), Web Penetration Tester, Operating System Attack and Defense.

Étape 8 — S’inscrire sur TryHackMe

TryHackMe est l’alternative à HTB Academy, plus orientée débutant et plus pédagogique. Le compte gratuit donne accès à ~30 % des contenus ; le premium (14 USD/mois) débloque tout. Pour préparer le CEH, le compte gratuit + sélection ciblée des rooms premium suffit.

1. Aller sur https://tryhackme.com
2. Créer compte gratuit
3. Suivre la "Pre Security" learning path (gratuite, 4 semaines)
4. Enchaîner avec "Complete Beginner" path (gratuite + premium mixte)
5. Compléter par les "Cyber Defense" et "Web Fundamentals" paths

Recommandation : faire un mois de TryHackMe Premium (14 USD) en plein milieu de ta préparation CEH (semaine 12-16) pour booster intensivement avant l’examen.

Étape 9 — Configurer les snapshots VirtualBox

Avant chaque session de pratique, crée un snapshot de chaque VM. Cela te permet de revenir à un état propre en 30 secondes après une attaque destructrice.

Sur chaque VM dans VirtualBox :
1. Menu Machine > Take Snapshot
2. Nommer "Clean baseline 2026-04-30"
3. Ajouter description "Setup complet, avant tout test"
4. Valider

Pour restaurer après un test :

1. Éteindre la VM
2. Menu Snapshots > Sélectionner le snapshot
3. Restore
4. Démarrer la VM

Étape 10 — Vérifier la légalité de ton setup

Check-list finale avant la première attaque :

☐ Lab fonctionne uniquement avec mes propres VM (Metasploitable, DVWA local)
   OU plateformes autorisant explicitement le pentest (HTB, TryHackMe, PortSwigger Academy)
☐ Les VM cibles sont en réseau interne isolé (pas accessibles depuis Internet)
☐ Aucun trafic d'attaque ne sort vers Internet ou réseau d'entreprise/famille
☐ Les outils de pentest installés ne sont JAMAIS utilisés contre :
   - Box du FAI (Sonatel, Orange, etc.) — propriété opérateur
   - Réseau wifi du voisin / café / coworking — propriété tiers
   - Site web public sans autorisation — propriété propriétaire
   - Compte personnel d'un ami "qui s'en fiche" — autorisation orale = nulle
☐ J'ai un dossier de captures d'écran daté pour chaque exercice (preuve de lab personnel)
☐ Si un mandat de pentest est signé : copie papier dans mon dossier juridique avant le 1er packet

Si une seule case est non cochée, ne pas attaquer. La loi cybercriminalité ouest-africaine ne fait pas de distinction entre un « test inoffensif » et un crime — l’accès non autorisé est toujours pénalement répréhensible.

Erreurs fréquentes

Adaptation au contexte ouest-africain

Pour les étudiants équipés d’un PC modeste (8 Go RAM, 256 Go disque) : choisis 1 VM Kali + 1 cible à la fois plutôt que tout simultanément. Désactive l’interface graphique de Metasploitable (déjà CLI par défaut) pour gagner de la RAM. Privilégie les plateformes cloud (HTB, THM) plutôt que les VM locales pour réduire la charge.

Pour les centres de formation cybersécurité : équipe une station de travail à 24-32 Go RAM par étudiant comme standard. Le bootcamp CEH typique de 5 jours demande au minimum 6 VMs simultanées par étudiant. Budget par poste : ~700 000 FCFA d’occasion en 2026 (Lenovo ThinkPad P52, Dell Precision M5520).

Pour les ESN cybersécurité qui forment leurs équipes en interne : déployer une plateforme HTB Business ou TryHackMe Business est plus rentable pour 10+ apprenants — accès illimité partagé, environnement standardisé, pas de problème de matériel hétérogène. Coût : 50-100 USD par utilisateur par an, justifié pour une ESN qui forme des dizaines de pentesters juniors par an.

Pour les autodidactes en milieu rural : la vraie contrainte est la connexion Internet pour télécharger l’image Kali (3,5 Go) et synchroniser les mises à jour mensuelles. Solution : télécharge une fois en ville (cyber, coworking, ami avec fibre), copie sur clé USB ou disque externe, déploie hors-ligne. Les mises à jour Kali ne sont pas obligatoires hebdomadairement pour la pratique CEH.

FAQ

Pourquoi pas Parrot OS au lieu de Kali ?

Parrot OS est techniquement excellent (basé Debian aussi, plus léger, meilleure UX), mais 95 % des tutoriels CEH/OSCP/HTB utilisent Kali comme référence. Pour ne pas perdre de temps à adapter chaque commande, reste sur Kali pour la phase d’apprentissage. Tu pourras switcher après obtention de la certif.

Faut-il dual-boot Kali ou utiliser uniquement la VM ?

VM. Toujours VM. Le dual-boot Kali est une erreur de débutant : tu te retrouves à utiliser Kali comme OS principal « pour avoir tous les outils sous la main », ce qui finit toujours par briser le système (mises à jour cassées, pilotes Wi-Fi défaillants). La VM est isolée, snapshotable, jetable.

Combien de machines vulnérables en parallèle ?

Pour préparer le CEH, 3 cibles suffisent : Metasploitable 2 (Linux ancien), DVWA ou Juice Shop (web), une Windows 10 sans patches (à provisionner via une ISO Microsoft d’évaluation 90 jours, parfaitement légal). Plus loin (OSCP), tu ajouteras Metasploitable 3, VulnHub, etc.

Peut-on utiliser un VPS au lieu d’une VM locale ?

Oui mais déconseillé pour Metasploitable. Un VPS Hetzner / DigitalOcean / OVH avec Metasploitable serait accessible Internet — danger d’utilisation par des tiers. Si tu veux du cloud pour la pratique, utilise HTB et TryHackMe qui isolent leurs cibles dans des VPN dédiés.

HTB ou TryHackMe : que choisir ?

Les deux sont complémentaires. TryHackMe est plus pédagogique, plus accessible aux débutants, idéal pour les premiers 2-3 mois de prépa. HTB est plus exigeant techniquement, plus reconnu dans l’industrie, idéal pour le sprint final 1-2 mois avant l’examen. Budget combiné : ~30 USD/mois si tu prends les deux en premium, ce qui est le plus efficace.

Est-ce légal d’utiliser ces outils en Afrique de l’Ouest ?

Strictement encadré. Les outils Kali sont des outils à double usage — légaux à posséder, illégaux à utiliser sans autorisation. La possession et l’apprentissage sont protégés (article 4 de la directive UEMOA 08/2013 sur la cybercriminalité, qui réserve les sanctions à l’utilisation contre des systèmes non autorisés). Mais utilise-les uniquement comme expliqué dans la check-list de l’étape 10.

Combien de temps pour devenir productif sur Kali ?

Pour un Linux user familier : 2-3 semaines pour maîtriser les outils principaux. Pour un débutant Linux complet : ajouter 1 mois de pratique commande Linux (apprendre bash, find, grep, awk, sed, cron, systemd).

Pour aller plus loin

• 🔝 Article cadre : Passer le CEH v13 depuis l’Afrique de l’Ouest — Guide complet 2026
• ➡️ Suite logique : Reconnaissance et OSINT pas-à-pas (à venir).
• ➡️ En complément : Scan réseau avancé avec Nmap (à venir).
• Documentation officielle : Kali Linux Documentation, DVWA GitHub, OWASP Juice Shop.
• Plateformes pratique : HTB Academy, TryHackMe, PortSwigger Web Security Academy (gratuit, intégral, niveau pro).
• Communauté : Reddit r/HowToHack (débutants), r/AskNetsec (questions techniques), r/cybersecurity. Discord AfricaHackon. Telegram Cybersecurity Sénégal.
• Suggestion d’entraînement : pour valider que ton lab est opérationnel, complète d’abord 5 rooms TryHackMe gratuites de la learning path « Pre Security », puis 3 modules gratuits HTB Academy. Si tout fonctionne, ton setup est validé pour les six mois à venir.

Mots-clés secondaires : Kali Linux 2026 installation, VirtualBox CEH lab, DVWA Docker, Metasploitable 2 setup, OWASP Juice Shop, HTB Academy gratuit, TryHackMe débutant, lab pentesting légal francophone.