Préparer PECB Lead Ethical Hacker : home-lab et examen pratique

La certification PECB Certified Lead Ethical Hacker est la plus exigeante du volet offensif PECB. Son examen est hands-on : compromettre au moins deux machines cibles dans un environnement de lab isolé, à livre ouvert, puis rédiger un rapport d’audit conforme aux standards de l’industrie. Ce tutoriel propose un plan de préparation de huit semaines, qui combine la construction d’un home-lab d’entraînement, la pratique CTF intensive et la maîtrise des chaînes d’attaque modernes (Active Directory, conteneurs, cloud).

Pour le panorama complet PECB et le comparatif détaillé avec OSCP, CEH et la PECB Lead Pen Test Professional, voir le panorama des certifications PECB 2026 et Préparer PECB Lead Pen Test Professional.

Prérequis avant de démarrer

L’examen Lead Ethical Hacker se distingue radicalement du reste du catalogue PECB. Le candidat doit compromettre au moins deux machines cibles dans un lab dédié, à livre ouvert (les supports de cours et les notes personnelles sont autorisés pendant l’examen), puis livrer un rapport d’audit. La double épreuve évalue à la fois la capacité technique brute et la capacité à restituer la mission. C’est l’examen PECB le plus proche d’OSCP, sans en avoir l’intensité temporelle (OSCP demande 23 heures 45 minutes de compromission ininterrompue, suivies de 24 heures de rapport).

Le profil idéal a déjà résolu plusieurs dizaines de boîtes sur HackTheBox ou TryHackMe en niveau easy et medium. Sans cette base d’entraînement, le format hands-on devient un mur. La préparation théorique seule ne suffit pas — il faut une pratique régulière du compromis-énumère-pivote-élève qui devient un réflexe à force de répétitions.

Le matériel à se procurer comprend un manuel candidat PECB Lead Ethical Hacker, un abonnement HackTheBox VIP+ ou TryHackMe Premium pendant la préparation, une machine personnelle pour le lab (Kali Linux ou Parrot OS dans VirtualBox ou VMware), de quoi monter un mini-lab AD localement (Windows Server évaluation + Windows 10 client), et idéalement un outil de gestion de notes type CherryTree ou Obsidian pour structurer vos cheatsheets d’examen.

Vue d’ensemble du plan en huit semaines

• Semaines 1-2 — Construction du home-lab et reconnaissance
• Semaines 3-4 — Exploitation infrastructure (Linux, Windows, AD)
• Semaine 5 — Exploitation applicative web
• Semaine 6 — Post-exploitation, mouvement latéral, persistance
• Semaine 7 — Rapport, méthodologie, restitution
• Semaine 8 — Examens blancs en conditions réelles

Étape 1 — Semaines 1-2 : home-lab et reconnaissance

Construire son propre home-lab est l’investissement le plus rentable de la préparation. Vous y répliquez les scénarios de l’examen, vous y testez les chaînes d’attaque, vous y validez votre cheatsheet. Un home-lab minimal en 2026 comprend : un domaine AD avec un Windows Server contrôleur de domaine, un Windows 10 client joint au domaine, une Linux Ubuntu cible web, le tout dans un réseau isolé (typiquement un VLAN ou un réseau hôte-uniquement dans l’hyperviseur).

Les images d’évaluation Microsoft sont gratuites pour 180 jours. Une fois le lab monté, configurez-y des erreurs typiques : un service inutile exposé, un mot de passe administrateur faible, un Kerberoasting possible, une partage SMB en lecture ouverte. C’est ce que vous trouverez sur les boîtes d’examen.

La reconnaissance se travaille en parallèle sur HackTheBox ou TryHackMe. Visez sur ces deux semaines au minimum dix machines easy résolues en autonomie, en chronométrant votre temps total. L’objectif n’est pas la performance mais la régularité du processus : énumération nmap complète (scan SYN puis scan complet UDP, scripts NSE par défaut, identification de versions), énumération de chaque service identifié, identification des points d’entrée probables. Notez chaque commande utilisée dans votre cheatsheet — vous l’utiliserez à l’examen.

# Cheatsheet reconnaissance minimum
# 1. Scan TCP rapide (top ports)
nmap -sV -sC --top-ports 1000 -oA scans/initial $IP

# 2. Scan TCP complet en parallèle
nmap -p- --min-rate 5000 -oA scans/full $IP

# 3. Pour chaque service identifié, énumération approfondie
# Web : gobuster, ffuf, nikto, whatweb
# SMB : smbclient, smbmap, enum4linux-ng
# LDAP : ldapsearch, windapsearch
# DNS : dnsrecon, dig axfr

Étape 2 — Semaines 3-4 : exploitation infrastructure

Ces deux semaines couvrent la compromission initiale via les services réseau et systèmes. Sur Linux, les vecteurs classiques sont les services obsolètes (Samba, ProFTPD, services applicatifs custom mal sécurisés), les credentials par défaut, les services internes exposés (Redis sans authentification, Elasticsearch ouvert), et la mauvaise configuration de SSH.

Sur Windows, les vecteurs principaux passent par l’Active Directory. Les techniques à maîtriser à l’aise sont : l’énumération AD via BloodHound et SharpHound, l’AS-REP Roasting (recherche de comptes sans pré-authentification Kerberos), le Kerberoasting (extraction de tickets de service pour cracking offline), l’exploitation des délégations contraintes et non contraintes, l’abus des ACL DACL via les chemins identifiés par BloodHound, et le passage par les protocoles legacy LLMNR/NBT-NS avec Responder.

Pour la mise en place du home-lab, le tutoriel Lab CEH avec Kali Linux + DVWA + HTB Academy donne un setup complet en cadre légal réutilisable ici ; pour les techniques d’exploitation système, voir Metasploit Framework : exploitation système pas-à-pas. Vous devez monter et démonter votre home-lab AD trois ou quatre fois pendant ces deux semaines, en injectant à chaque fois une vulnérabilité différente. Cette répétition consolide les automatismes : reconnaître à la sortie de BloodHound un chemin Kerberoastable, savoir quel hash extraire et avec quel outil (Rubeus côté Windows, GetUserSPNs.py côté Linux via Impacket), savoir lancer le cracking avec hashcat (mode 13100 pour TGS) en moins de cinq minutes.

Livrable des semaines 3-4 : compléter au minimum quinze machines HackTheBox/TryHackMe en niveau medium, dont au moins cinq sur des chaînes AD complètes, en documentant chaque résolution dans votre cheatsheet personnel.

Étape 3 — Semaine 5 : exploitation applicative web

La semaine 5 est dédiée à l’attaque web, qui est généralement une porte d’entrée fréquente dans les scénarios PECB. Le manuel PECB s’appuie sur l’OWASP Top 10 mais l’examen pratique attend une maîtrise d’exécution réelle, pas une connaissance théorique.

Les techniques à maîtriser en pratique sont : les injections SQL (UNION, error-based, boolean blind, time-based, second-order), les XSS (reflected, stored, DOM-based) et leur exploitation pour un vol de session, les contournements d’authentification (logique métier, JWT malformés ou avec algorithme vulnérable, manipulation de session côté serveur), les SSRF (avec escalation vers metadata cloud, fichiers internes, accès aux services backend), les attaques de désérialisation (PHP unserialize, Java, .NET, Python pickle), et les vulnérabilités spécifiques aux frameworks récents (template injection sur Jinja2, Twig, Velocity).

L’outil pivot est Burp Suite (édition communautaire suffisante pour l’examen, édition Pro plus efficace pour la préparation). Vous devez savoir utiliser le proxy intercepteur, l’Intruder pour les attaques par dictionnaire ciblées, le Repeater pour le rejeu de requêtes, et au minimum trois extensions classiques (Logger++, Autorize pour les tests d’autorisation, Param Miner pour la découverte de paramètres cachés).

Livrable de la semaine : faire au minimum quinze exercices sur PortSwigger Web Security Academy (gratuit) couvrant les catégories OWASP Top 10, et résoudre au moins trois machines HackTheBox à dominante web.

Étape 4 — Semaine 6 : post-exploitation et mouvement latéral

La post-exploitation est ce qui suit la compromission initiale d’un utilisateur ou d’un système. Trois objectifs successifs : l’élévation de privilèges locale, le mouvement latéral interne, l’objectif métier final (extraction de données sensibles, accès à un compte privilégié, démonstration d’impact).

Sur Linux, les outils à maîtriser sont : LinPEAS pour l’audit local automatisé, GTFOBins pour identifier les binaires exploitables via SUID/sudo, l’analyse manuelle des tâches cron, des permissions de fichiers sensibles, des sockets unix, des capabilities POSIX. Sur Windows : WinPEAS, PowerUp.ps1, l’analyse des services mal configurés, des tokens d’accès, des bypass UAC modernes, l’extraction de credentials en mémoire via Mimikatz et ses dérivés.

Le mouvement latéral via SMB/RDP/WinRM passe par CrackMapExec (remplacé par NetExec depuis fin 2023, après le retrait du mainteneur d’origine en septembre 2023) qui automatise l’essai d’authentification et l’exécution de commandes sur plusieurs cibles. Le passage par PsExec, smbexec ou wmiexec via Impacket reste un classique. L’extraction de hashes via secretsdump.py sur le SAM, SYSTEM et NTDS.dit du contrôleur de domaine fait partie de l’arsenal attendu.

La persistance n’est pas testée explicitement à l’examen (un pentest légitime court n’a pas vocation à persister) mais le candidat doit en connaître les techniques principales pour les identifier en mission red team. Les services Windows, les tâches planifiées, les registres d’auto-démarrage, les golden tickets Kerberos et silver tickets sont les techniques de base.

Livrable de la semaine : compléter votre home-lab AD avec une chaîne d’attaque complète documentée (compromission initiale via service exposé → élévation locale → mouvement latéral → compromission du DC). Cette documentation suit la trame du rapport d’examen.

Étape 5 — Semaine 7 : rapport et restitution

Le rapport est la moitié de la note à l’examen Lead Ethical Hacker. Sa qualité ne se rattrape pas par une virtuosité technique. Une compromission brillante mal documentée vaut moins qu’une compromission modeste bien rédigée.

La structure attendue suit les standards de l’industrie. Une page de garde (commanditaire, dates, périmètre, contact). Un résumé exécutif de deux à trois pages, sans jargon technique, avec une grille de criticité globale (par exemple : 2 critiques, 5 élevées, 8 moyennes, 4 faibles), un schéma synthétique de la chaîne d’attaque, et trois à cinq recommandations stratégiques. Une section méthodologie (cadrage de mission, méthode appliquée, périmètre, limitations). Le détail des constats, un par vulnérabilité, avec description, preuve technique, criticité CVSS, mapping MITRE ATT&CK, recommandation de remédiation. Des annexes techniques avec logs et captures.

La criticité CVSS v3.1 (ou v4.0 si l’organisation l’a adoptée) est calculée pour chaque vulnérabilité. La formulation des recommandations est un point souvent négligé en préparation : une recommandation pertinente est actionnable, vérifiable et adresse la cause racine. « Corriger la vulnérabilité » est insuffisant. « Désactiver l’authentification NTLM v1 sur tous les contrôleurs de domaine via la GPO Domain Controllers Default et activer l’audit des authentifications LM/NTLMv1 sur le SIEM » est exploitable par l’équipe correctrice.

Livrable de la semaine : rédiger un rapport complet (30 à 50 pages) sur votre home-lab AD compromis lors des semaines précédentes. Ce rapport servira de modèle pour l’examen et démontrera votre niveau de maîtrise à un correcteur PECB.

Étape 6 — Semaine 8 : examens blancs en conditions réelles

La dernière semaine est consacrée aux examens blancs. Visez au minimum trois sessions de compromission sur des machines inconnues, chronométrées, suivies de la rédaction d’un mini-rapport de cinq à dix pages. Cette discipline reproduit les conditions de l’examen et identifie vos derniers points faibles.

Les sources d’exercices recommandées : les boîtes HackTheBox récemment retirées (accessibles avec l’abonnement VIP+), les boîtes TryHackMe niveau medium et hard, les boîtes de la plateforme PG Practice d’OffSec si vous y avez accès. Évitez à ce stade les nouvelles boîtes très difficiles qui pourraient vous décourager : votre objectif n’est plus l’apprentissage mais la confirmation des automatismes.

Pour chaque session d’examen blanc, chronométrez : reconnaissance, premier accès, élévation, mouvement latéral, finalisation. Identifiez où vous perdez du temps. Si vous bloquez systématiquement sur l’énumération web, refaites des exercices spécifiques Portswigger. Si vous bloquez sur l’AD, refaites BloodHound jusqu’à le maîtriser à fond.

Étape 7 — Vérification : stratégie le jour J de l’examen

Le jour de l’examen, quatre disciplines font la différence. L’énumération doit être méthodique. Beaucoup d’échecs proviennent d’une énumération incomplète : un port oublié, un dossier non testé, une option d’un service non explorée. Lancez votre cheatsheet en parallèle dès l’attribution des cibles et ne quittez pas une cible avant que toutes les commandes de la cheatsheet aient été exécutées.

La prise de notes est continue. Captures d’écran horodatées de chaque étape réussie, copie de chaque commande utilisée, sauvegarde de chaque preuve. Vous ne rédigerez pas le rapport en repassant sur vos pas — vous le rédigerez à partir de notes prises pendant l’attaque.

Le temps est fini. Si après une heure vous n’avez pas trouvé de point d’entrée sur une cible, passez à la suivante. Ne vous obstinez pas. Le retour sur la première cible avec un œil neuf est généralement plus rapide qu’une lutte frontale.

Le rapport reste prioritaire. Mieux vaut une compromission sur deux machines bien rédigée qu’une compromission sur trois machines avec un rapport bâclé. Pour la mécanique de rédaction d’un rapport offensif, voir le tutoriel Rapport OSCP : template OffSec, structure officielle et pièges à éviter. Cette priorité est explicitement valorisée dans la grille de correction PECB.

Erreurs fréquentes en préparation

Après l’examen et parcours en sécurité offensive

Le titre Lead Ethical Hacker se valorise sur le marché francophone comme un signal de compétence pratique réelle. Combiné avec la PECB Lead Pen Test Professional, vous démontrez à la fois la capacité technique brute et la maîtrise méthodologique. Combiné avec OSCP (Offensive Security), vous accédez à un cran supplémentaire de reconnaissance internationale — pour creuser cette voie, voir aussi Active Directory pour l’OSCP : Kerberoasting, BloodHound, Pass-the-Hash et Escalade de privilèges Windows pour l’OSCP.

Le parcours typique d’un pentester senior francophone qui se construit sur trois à cinq ans pourrait ressembler à : LEH la première année comme socle hands-on, OSCP la deuxième année pour le titre international, LPTP la troisième année pour formaliser la posture méthodologique, et une certification spécialisée (web, mobile, red team) la quatrième année selon la cible métier. Ce parcours capitalise sur la pratique acquise et évite la dispersion entre titres redondants.

Comme les autres certifications PECB, le titre est valable trois ans, soumis à la cotisation annuelle et au cumul de crédits CPD. Les sources de CPD éligibles pour ce profil sont les conférences offensive security (BlackHat, DefCon, Hack.lu, BlueHat, LeHack en France), les publications de write-ups (anonymisés), la contribution open source à des outils offensifs, et la participation active à des CTF reconnus (DEF CON CTF, CSAW, FCSC en France).

Ressources et références officielles

• PECB — fiche officielle Lead Ethical Hacker
• HackTheBox — plateforme d’entraînement
• TryHackMe — plateforme d’entraînement
• PortSwigger Web Security Academy
• MITRE ATT&CK
• GTFOBins — élévation de privilèges Linux
• OWASP Top 10
• ITSkillsCenter — Panorama des certifications PECB 2026
• ITSkillsCenter — Préparer PECB Lead Pen Test Professional

Articles connexes

• Préparer PECB Lead Pen Test Professional : méthodologie et reporting
• Préparer ISO/IEC 42001 Lead Implementer PECB : gouvernance IA
• Préparer ISO 22301 Lead Implementer PECB : BIA, PCA et PRA
• Préparer ISO/IEC 27001 Lead Auditor PECB : méthodologie daudit

Prérequis pratique : avant d’aller plus loin, installer et configurer Burp Suite étape par étape.