ITSkillsCenter
Cybersécurité

Burp Suite : le guide complet du pentest web en 2026 (Community, Pro, Enterprise)

20 min de lecture

Note d’éthique préalable. Tout ce qui suit suppose un cadre légal explicite : pentest sur des systèmes que vous possédez, sur lesquels vous avez une autorisation écrite (lettre de mission, scope signé), dans un programme de bug bounty officiel (HackerOne, Bugcrowd, Intigriti, programmes maison déclarés), ou dans un lab d’apprentissage prévu pour ça (PortSwigger Web Security Academy, DVWA, OWASP Juice Shop, Hack The Box, TryHackMe). Aucun usage de Burp en dehors de ce périmètre n’est légal — c’est l’article 323-1 et suivants du Code pénal français, l’article 6 de la loi sénégalaise 2008-11 sur la cybercriminalité, et leurs équivalents dans tous les pays d’Afrique de l’Ouest. La technique sans le cadre, c’est l’infraction.

Ceci posé, Burp Suite est l’outil de référence du pentest web depuis quinze ans. Un développeur, une équipe sécurité, un hunter de bug bounty, un consultant d’audit — tous le manipulent au quotidien. Ce guide pose tout à plat : ce qu’est Burp Suite, ce que font ses trois éditions, comment ses outils internes (Proxy, Repeater, Intruder, Scanner, Decoder, Comparer, Sequencer) s’articulent, comment l’écosystème d’extensions étend ses capacités, et comment tout ça s’intègre dans un workflow professionnel — du premier intercept jusqu’à la livraison d’un rapport.

Sommaire

Qui est PortSwigger, et pourquoi Burp est devenu le standard

PortSwigger est une société britannique fondée par Dafydd Stuttard en 2004. Son équipe de recherche est connue dans le milieu pour avoir documenté ou popularisé un nombre considérable de classes de vulnérabilités web — HTTP Request Smuggling moderne, Web Cache Poisoning, OAuth flaws documentés, attaques sur les parsers HTTP, server-side request forgery avancée. Cette recherche descend ensuite directement dans le produit : Burp Suite reçoit des modules d’analyse pour chaque nouvelle classe d’attaque que PortSwigger publie.

Cette boucle recherche → produit explique pourquoi Burp a écrasé la concurrence. OWASP ZAP existe et reste un outil libre respectable. Acunetix, Netsparker (devenu Invicti), AppScan d’IBM jouent dans la cour des scanners enterprise. Mais pour le travail manuel de l’analyste — celui où on intercepte une requête, on la trafique, on observe la réponse, on cherche les comportements bizarres — Burp Suite est devenu la grammaire commune. Quand un pentester débute son rapport par « voir capture Burp Repeater », tout le monde comprend.

L’autre raison du règne, c’est la PortSwigger Web Security Academy. Lancée en 2019, c’est une plateforme d’apprentissage gratuite avec plus de deux cents labs interactifs, classés par catégories de vulnérabilités, accompagnés d’exercices guidés et de défis. La pédagogie est exceptionnelle. Pour un débutant qui veut apprendre la sécurité web sérieusement, c’est sans concurrence sur Internet. Et tout y est conçu autour de Burp.

Community, Professional, Enterprise : choisir son édition

Burp se décline en trois éditions, chacune ciblant un usage précis. Le choix se fait selon votre rôle, votre budget, et le niveau d’industrialisation visé.

Burp Suite Community Edition

Prix : gratuit. C’est la version qu’on télécharge sans inscription depuis portswigger.net/burp/communitydownload. Elle contient les outils manuels essentiels : Proxy pour intercepter le trafic, Repeater pour rejouer des requêtes, Decoder pour encoder/décoder, Comparer pour différencier deux réponses, et Intruder en mode bridé (un seul thread, payloads ralentis volontairement). Pas de Scanner automatique, pas de fonctionnalités collaboratives, pas de support des extensions Java récentes pour certaines BApp.

Pour un développeur qui veut tester son application, pour un étudiant en cybersécurité qui démarre, pour un freelance qui fait des audits ponctuels et qui rejette les automatismes, Community suffit. La grande majorité des techniques manuelles que vous apprendrez sur la PortSwigger Web Security Academy se pratiquent sur Community. C’est la porte d’entrée, et elle est large.

Burp Suite Professional

Prix : 499 dollars par utilisateur, en abonnement annuel. Pro débloque le Scanner — le moteur d’audit actif et passif qui parcourt automatiquement une application et signale les vulnérabilités — l’Intruder sans limite de threads, les fonctionnalités collaboratives via la Burp Collaborator (utile pour les attaques out-of-band : SSRF, blind SQL injection, etc.), Burp AI pour assister certaines tâches, et l’accès complet aux extensions du BApp Store, y compris celles qui dépendent du Scanner.

Pour un consultant d’audit, un analyste sécurité d’entreprise, un hunter sérieux de bug bounty, c’est l’investissement qui se rentabilise sur les premières missions. Les 499 dollars représentent environ 300 000 FCFA — soit l’équivalent d’une à deux journées d’audit facturé. Si vous passez plus de cinq journées par an sur Burp en mission, vous y êtes déjà.

Burp Suite Enterprise Edition

Prix : sur devis. C’est le scanner DAST (Dynamic Application Security Testing) industriel, déployable sur infrastructure d’entreprise, scriptable via API REST, intégrable à votre CI/CD pour scanner automatiquement chaque mise en production. Il s’adresse aux RSSI qui veulent une couverture continue de leur portefeuille applicatif, et aux équipes AppSec qui veulent industrialiser ce qu’un Pro fait à la main.

Pour la grande majorité des lecteurs d’ITSkillsCenter, Enterprise n’est pas le choix immédiat. Mais c’est utile de savoir que ce produit existe et que la transition Pro → Enterprise est culturellement fluide pour qui maîtrise déjà l’outil.

L’architecture interne de Burp : les outils du suite

Burp Suite n’est pas un outil unique — c’est une suite de modules qui partagent un même proxy et une même base de données de session. Comprendre la fonction de chaque module change radicalement votre productivité. Voici les sept à connaître.

Proxy

Le cœur du système. Burp Proxy s’insère entre votre navigateur et le serveur web cible, et capture toutes les requêtes HTTP/HTTPS qui transitent. En mode intercept, vous pouvez les modifier avant qu’elles partent. En mode passif, elles sont juste loguées dans l’historique. Le tutoriel Intercepter sa première requête couvre l’installation du certificat CA — étape obligatoire pour intercepter le trafic HTTPS sans avertissement de sécurité.

Repeater

Le bistouri de l’analyste. Vous prenez une requête capturée par le Proxy, vous l’envoyez à Repeater, et là vous la modifiez à volonté pour observer comment le serveur réagit. Changer un identifiant de ressource, injecter un payload SQL, falsifier un header d’autorisation, tester un IDOR. Repeater est l’outil le plus utilisé en pratique sur une mission. Le satellite Repeater pas-à-pas détaille les flux qui paient : injections, broken access control, IDOR, content-type confusion.

Intruder

L’automatisation des attaques par fuzzing. Vous désignez les positions à fuzzer dans une requête (un paramètre, un header, un chemin), vous chargez une wordlist de payloads, et Intruder lance des centaines ou milliers de requêtes en variant les payloads. Quatre modes d’attaque — Sniper, Battering Ram, Pitchfork, Cluster Bomb — couvrent la plupart des cas. Sur Community, Intruder tourne mais bridé. Sur Pro, c’est instantané. Le satellite Intruder : sniper, pitchfork, cluster bomb explique chaque mode et donne des wordlists de référence.

Scanner (Pro uniquement)

Le moteur d’analyse automatique de Pro. Il fait deux choses : un scan passif qui observe ce que vous faites manuellement et marque les findings au passage ; un scan actif qui injecte ses propres payloads pour découvrir des vulnérabilités. Le Scanner sait détecter les classes principales — XSS, SQL injection, SSRF, XXE, command injection, broken access control, fichiers sensibles exposés, problèmes TLS — avec un faible taux de faux positifs comparé aux concurrents. Le satellite Scanner Burp Pro détaille les options de crawl, le tuning des audits, et la lecture des findings.

Decoder, Comparer, Sequencer

Trois utilitaires qui paraissent secondaires et qui sauvent des heures. Decoder encode/décode en URL, base64, hex, ASCII, HTML entities, et calcule des hashes — précieux quand vous tombez sur une chaîne énigmatique. Comparer aligne deux requêtes ou deux réponses côte à côte et surligne les différences — utile pour détecter ce qui change entre une requête authentifiée et une non, entre un cas qui fonctionne et un qui échoue. Sequencer analyse l’aléa de tokens (cookies de session, CSRF tokens) en collectant un large échantillon et en mesurant l’entropie. Trois outils que les débutants ignorent et que les experts dégainent à chaque mission.

Burp Collaborator (Pro)

Un service hébergé par PortSwigger qui vous donne un domaine unique *.burpcollaborator.net dont vous pouvez observer le trafic. C’est l’outil indispensable pour les attaques out-of-band : SSRF blind, OOB SQL injection, OOB OS command injection, XXE blind. Vous injectez une URL Collaborator dans la cible, et si la cible la déréférence — même sans afficher la réponse à l’écran — vous voyez la connexion entrante côté Collaborator. C’est de la magie noire technique, mais c’est ce qui distingue un débutant d’un pro.

L’écosystème d’extensions : BApp Store, Bambdas, BChecks

La force de Burp Suite, c’est aussi son écosystème. Le BApp Store contient plus de trois cents extensions, beaucoup gratuites et open source, qui ajoutent des capacités spécifiques. Les extensions les plus déployées en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer ; vérifier la source officielle avant toute décision technique) :

Logger++ indexe toutes vos requêtes dans un tableau filtrable par regex sur n’importe quelle colonne — précieux quand l’historique du Proxy explose à des milliers d’entrées. Autorize automatise la détection des problèmes de contrôle d’accès en rejouant chaque requête avec une session de moindre privilège et en comparant les réponses. Param Miner trouve les paramètres cachés (HTTP headers oubliés, query strings non documentés) qui ouvrent des surfaces d’attaque insoupçonnées. JWT Editor permet d’éditer, signer, vérifier des JSON Web Tokens directement depuis l’interface — sans cet outil, manipuler des JWT devient pénible. Active Scan++ ajoute des chèques actifs au Scanner Pro pour des classes de vulnérabilité que la version officielle couvre incomplètement. Turbo Intruder permet de lancer des attaques à très haute concurrence (millions de requêtes par minute) — utile pour la recherche de race conditions. InQL introspecte les schémas GraphQL et facilite leur exploration.

Au-delà des extensions Java classiques, PortSwigger a introduit deux nouveautés pédagogiques. Les Bambdas sont des petits scripts Java filtrant ou transformant les requêtes en quelques lignes — l’équivalent d’une lambda en programmation, intégré à l’UI. Les BChecks sont des règles de scan custom écrites dans une syntaxe simple — vous pouvez ajouter au Scanner vos propres patterns de détection, par exemple « toute réponse qui contient une chaîne ressemblant à une clé API en clair ». Ces deux briques ouvrent la personnalisation à des utilisateurs non-développeurs.

Le satellite Extensions BApp essentielles détaille les six extensions à installer dès le premier lancement de Burp.

Tutoriels du cluster : entrer dans le détail

Cette page pose les fondations. Pour chaque sous-sujet, un tutoriel pas-à-pas creuse en profondeur, avec captures d’écran décrites, configurations à reproduire et cas d’usage concrets.

Lecture recommandée dans l’ordre : Installation → Proxy → Repeater → Intruder. Une fois ces quatre maîtrisés, vous avez 80 % de l’usage productif. Scanner et JWT/OAuth viennent ensuite quand le besoin se présente. Extensions et bug bounty closent le cluster pour ceux qui passent en mode chasseur sérieux.

Burp Suite en Afrique de l’Ouest : prix, alternatives, cas d’usage

L’écosystème pentest francophone africain monte en puissance vite. Plusieurs cabinets de Dakar, Abidjan, Cotonou et Lomé proposent désormais des audits sérieux de niveau international. Pour qui débute dans ce milieu, voici les paramètres pratiques à intégrer.

Le prix de Pro. Quatre cent quatre-vingt-dix-neuf dollars par an, soit environ 300 000 FCFA. Pour un freelance en démarrage, c’est un investissement à amortir. Stratégie réaliste : démarrez sur Community, montez en compétence sur la PortSwigger Web Security Academy (qui est gratuite et excellente), enchaînez deux ou trois missions facturées avec Community, puis basculez sur Pro quand vous avez votre premier client récurrent. Beaucoup de bons hunters de bug bounty démarrent sur Community et passent à Pro après leur premier ou deuxième payout significatif.

Le moyen de paiement. PortSwigger accepte la carte bancaire internationale et le virement SEPA. Depuis le Sénégal ou la Côte d’Ivoire, une carte virtuelle Mastercard ou Visa adossée à Wave ou Orange Money fait l’affaire. Pour la facturation à votre client local, demandez à PortSwigger une facture en TVA non-applicable hors UE — le service support est efficace.

Le matériel. Burp est gourmand en RAM. La machine de référence pour un usage Pro confortable est 16 Go de RAM minimum. Sur 8 Go, vous tournerez mais avec lenteurs et limites — à éviter pour des sessions longues. Java doit être disponible (le binaire Burp embarque sa propre JVM mais vérifiez les pré-requis sur la doc d’installation). Pour les configurations modestes, fermez le navigateur d’à côté pendant les sessions Burp lourdes.

Le contexte légal. Au Sénégal, la loi 2008-11 et son décret d’application sanctionnent l’accès et le maintien frauduleux dans un système. Le Code pénal de Côte d’Ivoire réprime les mêmes faits aux articles relatifs à la cybercriminalité. Avant tout test sur une cible, vous devez avoir une autorisation écrite explicite. Pour la pratique, restez sur les plateformes prévues (PortSwigger Academy, Hack The Box, TryHackMe, DVWA local, OWASP Juice Shop local, programmes de bug bounty officiels). Pour les missions clients, signez un contrat de prestation avec scope explicite — c’est aussi votre couverture si quelque chose va de travers pendant l’audit.

Les alternatives gratuites. OWASP ZAP est l’alternative libre la plus crédible. Moins ergonomique pour le travail manuel, plus orienté automatisation, mais entièrement gratuit, multi-plateforme, et avec une communauté active. Pour un développeur qui veut juste tester son app sans investir, ZAP est un point d’entrée raisonnable. Notre tutoriel OWASP ZAP pour tester votre site détaille la configuration. Pour qui vise l’écosystème pro et le bug bounty, néanmoins, Burp reste la voie principale.

Burp face aux concurrents : ZAP, Acunetix, Invicti, Caido

La concurrence existe, et il est utile de savoir où chacun se place. OWASP ZAP est le poids lourd du monde libre. Maintenu par OWASP, gratuit, open source, multi-plateforme. Pour le travail en mode automatique et les pipelines CI, ZAP est excellent — son support du headless et sa scriptabilité en font un compagnon naturel des chaînes DevSecOps. Pour le travail manuel d’investigation, l’ergonomie reste en retrait par rapport à Burp : l’interface est moins fluide, les extensions moins nombreuses, la communauté de tutoriels plus réduite. Pour un développeur qui veut intégrer un scan dans sa CI sans budget, ZAP est imbattable.

Acunetix et Invicti (anciennement Netsparker) jouent dans la cour des scanners enterprise. Ce sont des produits orientés industriels : scanner de centaines d’applications, dashboard centralisé, intégration aux outils de gestion de vulnérabilités, support 24/7. Le tarif suit — plusieurs milliers à dizaines de milliers d’euros par an. Pour un RSSI qui équipe une équipe AppSec dans une entreprise de plusieurs centaines de devs, ces produits ont leur place. Pour un freelance ou une agence d’audit, c’est sur-dimensionné. La concurrence frontale de ces outils, c’est Burp Suite Enterprise, pas Burp Pro.

Caido est l’outsider 2024-2026, écrit en Rust, focalisé sur la performance et l’ergonomie moderne. Sa version Pro coûte moins cher que Burp Pro et plusieurs hunters expérimentés l’adoptent comme outil principal ou secondaire. L’écosystème d’extensions reste plus modeste, et certaines techniques avancées (Burp Collaborator, Active Scan++) n’ont pas d’équivalent strict. Pour qui démarre, Burp reste la voie principale parce que la pédagogie autour est massive ; pour qui maîtrise déjà, Caido vaut le coup d’œil comme alternative.

Pour résumer le choix : si vous démarrez et voulez l’outil avec le plus gros écosystème de pédagogie, Burp Community puis Pro. Si vous intégrez un scan en CI sans budget, OWASP ZAP. Si vous gérez un programme AppSec corporate à grande échelle, Burp Enterprise ou Acunetix/Invicti selon les budgets. Si vous êtes hunter avancé qui veut explorer les alternatives, Caido en parallèle de Burp.

Erreurs fréquentes des débutants

Tester sans autorisation. L’erreur juridique majeure. Tester un site qui n’est pas le vôtre, sans contrat ou sans programme de bug bounty actif, c’est de l’intrusion. La loi ne fait pas la distinction entre « curiosité » et « malveillance » — l’accès non autorisé est l’infraction. Restez sur des labs ou des cibles formellement autorisées.

Configurer le proxy en mode intercept tout le temps. Vous bloquez chaque requête, le navigateur attend, vous oubliez de relâcher, plus rien ne charge, vous pestez. Le mode intercept ne s’active que ponctuellement, quand vous voulez modifier une requête précise. Le reste du temps, intercept off — le Proxy continue de logger en passif.

Ne pas définir de scope. Sans scope, Burp loggue tout votre trafic — y compris vos onglets perso, votre Gmail, vos sites bancaires. Définissez un scope strict avant de démarrer, soit par domaine soit par regex, et configurez Burp pour n’enregistrer que les requêtes dans le scope. Hygiène de session indispensable.

Ignorer les extensions. Beaucoup de débutants restent sur la configuration vanilla pendant des mois et se demandent pourquoi ils n’avancent pas. Les extensions du BApp Store sont conçues pour combler des trous, et plusieurs sont devenues quasi-obligatoires. Installez Logger++, Autorize et Param Miner dès la première semaine.

Lancer le Scanner sur tout sans filtrer. Le Scanner Pro est puissant mais bruyant. Lancé sans configuration sur un site large, il génère des milliers de requêtes en quelques minutes — ce qui est déconseillé sur prod, et qui peut casser une application fragile. Configurez les options de crawl et d’audit pour limiter aux endpoints intéressants, exclure les zones de logout/destruction, et auditer en heures creuses.

FAQ

Burp Community suffit-il pour démarrer dans le pentest web ?
Oui, et largement. Tous les labs de la PortSwigger Web Security Academy sont conçus pour tourner sur Community. La transition à Pro se justifie quand vous facturez du conseil régulier ou que vous chassez du bug bounty.

Burp ou ZAP ?
Burp pour la qualité du travail manuel et l’écosystème pro. ZAP pour le gratuit total et l’intégration CI. Beaucoup d’analystes ont les deux installés et utilisent celui qui colle au contexte. Pour la formation, démarrez sur l’un des deux et tenez-vous-y le temps de l’apprivoiser.

Burp est-il légal en Afrique de l’Ouest ?
L’outil lui-même, oui. Son usage doit respecter le cadre légal local : autorisation écrite avant tout test, programmes de bug bounty officiels, ou labs locaux. Sans ce cadre, l’usage est l’infraction — pas l’outil.

Quel chemin de carrière à partir de Burp ?
Pour un développeur, c’est l’outil qui élève votre conscience sécurité — vous n’écrirez plus jamais le même code après six mois de Burp. Pour un opérationnel sécurité, c’est l’outil de base d’un AppSec engineer, d’un consultant pentest, d’un hunter bug bounty. Plusieurs trajectoires partent du même point.

Faut-il maîtriser le code pour utiliser Burp efficacement ?
Pour le manuel et le Scanner Pro, non — la connaissance HTTP suffit. Pour personnaliser Burp en profondeur (extensions Java custom, Turbo Intruder en Python), le code aide. Mais le métier de pentester web ne demande pas une expertise code de niveau ingénieur — il demande la connaissance fine du protocole HTTP, des classes OWASP, et la patience de l’investigation.

Burp AI fait-il vraiment gagner du temps ?
Sur certaines tâches répétitives (interpréter un payload, suggérer des wordlists, expliquer un finding du Scanner), oui. Sur le travail créatif d’un pentester (trouver le chemin imprévu, l’angle non documenté), non — c’est encore l’humain qui pense. Un assistant utile, pas un remplaçant.

Pour aller plus loin

Pour la pratique, la PortSwigger Web Security Academy est sans concurrence. Démarrez par les modules « Authentication », « Access control », « SQL injection », « XSS » dans cet ordre. Comptez deux à trois mois en rythme soutenu pour boucler les modules essentiels.

Pour la culture du milieu, lisez le blog de PortSwigger Research — chaque article décortique une nouvelle classe de vulnérabilité avec des PoCs reproductibles. Suivez James Kettle, Gareth Heyes, Albinowax sur X/Twitter pour les annonces.

Pour la formation structurée, ITSkillsCenter propose des modules cybersécurité offensive avec cadre éthique strict et adaptation au contexte ouest-africain : voir notre catalogue de formations cybersécurité. Pour les certifications associées, lisez notre guide pratique du CEH v13 depuis l’Afrique de l’Ouest, et le tutoriel Exploitation web avec Burp Suite Community qui complète ce cluster côté certif.

Bonne route. Avec Burp Suite et la discipline éthique du cadre légal, vous tenez l’outil et la conduite. Le reste, c’est des heures de pratique sur des labs et la patience d’investigation que les bons pentesters partagent tous.

Une dernière note sur l’éthique professionnelle. Le métier de pentester web vit dans une zone juridique étroite : les techniques que vous apprenez sur Burp permettent de protéger des systèmes ou de les attaquer, et la frontière entre les deux est le cadre légal. Ce cadre n’est pas une formalité administrative — c’est ce qui distingue le professionnel du criminel. Cultivez la rigueur dès le premier jour : autorisations écrites systématiques, scope explicite signé, communication transparente avec le client ou le programme bug bounty, respect strict des disclosure policies. Cette posture vous protège juridiquement, mais elle construit aussi votre réputation sur la durée. Dans le milieu, on connaît les rigoureux et on connaît les opportunistes — les premiers ont des carrières longues et des clients fidèles, les seconds finissent par disparaître ou pire. Burp Suite est l’outil ; l’éthique professionnelle est ce qui vous fait pentester pour vivre, plutôt que pour finir devant un juge.

Mots-clés secondaires : Burp Suite 2026, PortSwigger, pentest web, OWASP, bug bounty, Burp Pro, Burp Scanner, BApp Store.

#Audited Strict Fact-check v2 2026 #audited-fact-check-ok #audited-islam-ok #bug-bounty #Burp Suite #cluster-burpsuite #cluster-pillar #Cybersécurité #Deep Per-Claim v3 2026-04 #owasp #pentest #pme-afrique #web-security
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires