Retour aux actualités
    Pentest réseau

    Pentest WiFi et réseau sans fil : guide technique 2026

    Le réseau sans fil est souvent le maillon faible de la sécurité périmétrique : accessible depuis le parking, victime de configurations héritées ou de déploiements mal sécurisés. Un pentest WiFi permet d'identifier ces failles avant qu'un attaquant ne les exploite pour pénétrer le réseau interne depuis l'extérieur du bâtiment.

    Reconnaissance WiFi

    La première étape est de cartographier les réseaux sans fil de la cible et leurs caractéristiques.

    • Kismet : sniffer passif WiFi multi-bandes (2.4 GHz, 5 GHz, 6 GHz avec Wi-Fi 6E), détecte les APs cachés.
    • airodump-ng (Aircrack-ng suite) : capture des trames WiFi, liste les SSID, BSSID, canaux, types de chiffrement, clients connectés.
    • Wireshark + monitor mode : analyse des trames 802.11 pour identifier les protocoles et comportements anormaux.

    Informations à recueillir : SSID et BSSID de chaque AP, canal, type de chiffrement (WEP, WPA2-Personal, WPA2-Enterprise, WPA3), clients associés, vendor des APs (via OUI lookup).

    Attaques WPA2-Personal

    Capture du 4-way handshake

    Le handshake WPA2 est échangé lors de l'association d'un client. Il peut être capturé passivement ou en forçant une désauthentification (deauth attack via aireplay-ng). Le handshake capturé est ensuite soumis à une attaque par dictionnaire.

    • Hashcat : GPU cracking, supporte WPA2 (mode -m 22000), wordlists rockyou, règles de mutation.
    • Aircrack-ng : cracking CPU, plus lent mais sans prérequis GPU.
    • • Vitesses typiques : 50 000 à 2 millions de mots de passe/seconde selon le GPU.

    Attaque PMKID (sans client)

    La PMKID (Pairwise Master Key Identifier) peut être extraite directement du premier message EAPOL envoyé par l'AP, sans nécessiter de client connecté. Plus discrète et plus rapide que la capture de handshake.

    • hcxdumptool : outil de capture PMKID.
    • hcxtools : conversion au format Hashcat (-m 22000).

    Evil Twin et KARMA attacks

    L'attaque Evil Twin crée un faux AP avec le même SSID que la cible, sur un canal plus proche ou avec une meilleure puissance de signal. Les clients se connectent au faux AP, permettant le MitM.

    • hostapd-wpe : AP frauduleux avec capture d'identifiants WPA2-Enterprise.
    • bettercap : framework complet pour les attaques WiFi MitM.
    • Airgeddon : script automatisant les attaques Evil Twin avec portail captif.

    Audit WPA2/WPA3 Enterprise (802.1X/EAP)

    Les réseaux d'entreprise utilisent 802.1X avec un serveur RADIUS (FreeRADIUS, Cisco ISE, Microsoft NPS). Les vecteurs d'attaque spécifiques :

    • EAP-MD5 : protocole obsolète vulnérable aux attaques par dictionnaire. À éliminer immédiatement.
    • PEAP-MSCHAPv2 : vulnérable si le certificat du serveur RADIUS n'est pas vérifié côté client. Un Evil Twin peut capturer les hash MSCHAPv2 (crackables avec asleap ou hashcat).
    • EAP-TLS : protocole le plus sûr (certificats mutuels). L'audit vérifie la rigueur de la PKI, la révocation des certificats et les configurations TLS.
    • RADIUS misconfiguration : shared secrets faibles, protocoles TLS obsolètes, absence de RADIUS accounting.

    Contre-mesures et recommandations

    • Migrer vers WPA3 : SAE (Simultaneous Authentication of Equals) élimine les attaques sur le handshake et la PMKID. WPA3-Enterprise avec EAP-TLS est l'état de l'art.
    • Mots de passe forts : minimum 20 caractères aléatoires pour les PSK WPA2 — les attaques dictionnaire deviennent inefficaces.
    • Vérification du certificat RADIUS : forcer la validation du certificat serveur sur tous les clients (MDM/GPO) pour bloquer les Evil Twin EAP.
    • Segmentation réseau WiFi : réseau invité, IoT, entreprise sur des VLANs distincts. Jamais de trafic WiFi non chiffré sur le réseau de production.
    • WIDS (Wireless Intrusion Detection System) : détecter les APs non autorisés, deauth floods, Evil Twin. Fonctionnalité intégrée dans les contrôleurs Cisco, Aruba, Ruckus.
    • Rotation régulière des PSK : ou adoption de PSK unique par appareil (Dynamic PSK — Cisco ISE, Aruba Clearpass).

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.