Installer et configurer Burp Suite en 2026 (Windows, Linux, Mac)

📍 Article principal du cluster : Burp Suite : le guide pratique 2026
Cet article fait partie du cluster « Burp Suite 2026 ». Lisez d’abord le pilier pour la vue d’ensemble — éditions, architecture interne, écosystème.

Cadre éthique préalable. Tout test à venir doit se faire dans un périmètre légal : labs personnels (DVWA, OWASP Juice Shop, PortSwigger Web Security Academy), Hack The Box, TryHackMe, ou programmes de bug bounty officiels. Aucun test sur un système tiers sans autorisation écrite explicite. Ce rappel n’est pas optionnel — il conditionne la légalité de tout ce qui suit.

L’installation de Burp Suite paraît triviale. Téléchargez, double-cliquez, c’est parti. En réalité, plusieurs choix faits au moment de l’installation déterminent votre confort des semaines suivantes : la quantité de RAM allouée, la version de Java utilisée, la séparation des projets, l’emplacement de stockage. Ce tutoriel pose les bonnes décisions pas-à-pas, sur les trois systèmes d’exploitation.

Prérequis

• Une machine avec 16 Go de RAM recommandés pour un usage Pro confortable, 4 Go minimum selon la spécification officielle PortSwigger (suffisant pour du proxy léger et de l’Intruder simple, vite limitant dès qu’on lance le Scanner sur une application moyenne).
• Au moins 5 Go de disque pour Burp + projets + extensions.
• Un système d’exploitation 64 bits récent : Windows 10/11, macOS 12+, Ubuntu 22.04+, Debian 12+, Kali Linux à jour.
• Une connexion Internet pour le téléchargement et la première activation.
• Pour Pro : un email de licence reçu de PortSwigger après achat (la souscription Professional est passée à 499 USD par utilisateur et par an au 6 janvier 2026).
• Niveau : débutant à intermédiaire.
• Temps estimé : 30 minutes (Community) à 60 minutes (Pro avec configuration projet).

Étape 1 — Télécharger l’installateur officiel

Allez exclusivement sur le site officiel portswigger.net/burp. Pour Community, descendez sur la page produit et cliquez sur « Get Community ». Pour Pro, après achat, vous avez reçu un email contenant un lien de téléchargement personnalisé et votre clé de licence.

Pourquoi le rappel sur la source officielle ? Burp Suite est l’un des outils les plus contrefaits en cracks et keygens distribués sur des forums obscurs. Ces versions sont systématiquement infectées — backdoor, mineur de cryptomonnaie, voleur de credentials. Pour un outil dont le métier est précisément de manipuler des sessions sensibles, c’est l’auto-sabotage. Restez sur le canal officiel, point.

Choisissez l’installateur correspondant à votre système : .exe pour Windows, .dmg pour macOS, .sh ou .tar.gz pour Linux. L’installateur fait environ 200 Mo. Le téléchargement prend quelques minutes selon votre bande passante.

Étape 2 — Installer sur Windows

Double-cliquez sur le .exe téléchargé. L’installateur Inno Setup s’ouvre. Acceptez la licence (lisez-la au moins une fois — elle restreint certains usages, notamment la décompilation et la redistribution). Choisissez l’emplacement d’installation : le défaut C:\Program Files\BurpSuite\ convient, sauf si vous préférez un dossier sans espaces (utile pour certaines extensions).

L’installeur Windows propose un emplacement par défaut sous Program Files — laisser ce chemin évite les problèmes de permissions et garantit qu’une mise à jour pourra écrire dans le même dossier sans demander d’élévation supplémentaire.

Emplacement recommandé : C:\Program Files\BurpSuiteCommunity\
Ou pour Pro : C:\Program Files\BurpSuitePro\

L’installateur termine en proposant la création d’un raccourci dans le menu Démarrer et sur le bureau — laissez les cases cochées, c’est le signal le plus visible pour confirmer que l’installation a abouti. À la fermeture de l’installateur, le binaire BurpSuiteCommunity.exe (ou BurpSuitePro.exe) est présent dans le dossier d’installation et lance Burp en double-cliquant. Si le menu Démarrer ne le trouve pas, c’est qu’une politique de groupe d’entreprise filtre l’enregistrement des raccourcis — créez-le manuellement en glissant l’exécutable sur le bureau.

Choisir un emplacement utilisateur (C:\Users\...\AppData\Local) reste possible mais oblige Burp à se relancer en mode utilisateur — les certificats CA générés ne pourront alors plus être installés silencieusement dans le magasin Trusted Root du système, étape requise pour intercepter le trafic HTTPS.

L’installation prend deux à trois minutes. À la fin, un raccourci est créé sur le bureau et dans le menu Démarrer. Lancez-le. Au premier démarrage, Windows Defender ou votre antivirus va probablement marquer Burp comme suspect — c’est attendu pour un outil dont la fonction est d’inspecter du trafic. Ajoutez une exception sur le binaire et le dossier d’installation pour éviter les ralentissements et faux positifs.

Sur Windows, Burp embarque sa propre JVM dans le sous-dossier jre/ — vous n’avez rien à installer en plus côté Java. Si l’application refuse de démarrer, vérifiez les logs dans %AppData%\BurpSuite\.

Étape 3 — Installer sur macOS

Ouvrez le .dmg téléchargé. Glissez l’icône Burp Suite dans le dossier Applications. Au premier lancement, macOS Gatekeeper va probablement bloquer l’application au motif qu’elle vient d’un développeur non vérifié — bien que PortSwigger soit signé, certaines versions transitionnent. Si c’est le cas, ouvrez Préférences Système → Sécurité et confidentialité, et cliquez sur « Ouvrir quand même » pour Burp Suite. Cette autorisation n’est demandée qu’une fois.

PortSwigger embarque sa propre JVM (Eclipse Temurin 21 LTS dans les builds 2026) et exige Java 21 au minimum selon la documentation officielle. La commande java -version sert uniquement à diagnostiquer un conflit potentiel. Si la sortie indique Java 8, 11 ou 17, ce n’est pas grave — Burp ignore complètement l’installation système et utilise sa JVM bundlée. Le conflit ne survient que si vous forcez le lancement avec un Java système trop ancien (cf. plus bas).

# Vérifier la version de Java disponible (informatif, Burp embarque la sienne)
java -version
# Java 21 minimum requis depuis 2026 (Temurin 21 LTS recommandé) pour lancer Burp en ligne de commande

Symptôme inverse : un Burp qui crashe au démarrage avec une stack UnsupportedClassVersionError indique que la variable d’environnement JAVA_HOME pointe vers une JVM trop ancienne. La désactiver temporairement (unset JAVA_HOME sur Linux/macOS) règle le problème dans 90 % des cas.

Sur macOS Apple Silicon (M1/M2/M3), choisissez la build native ARM proposée par PortSwigger pour de meilleures performances. La version Intel tourne via Rosetta mais consomme plus de batterie et de RAM.

Étape 4 — Installer sur Linux

Sur Debian, Ubuntu ou Kali, le plus simple est l’installateur shell .sh téléchargé sur portswigger.net. Rendez-le exécutable et lancez-le :

L’installeur Linux est livré sous forme de script shell auto-extractible (.sh) qu’il faut rendre exécutable avant de le lancer. La commande chmod +x ajoute le bit d’exécution ; le glob * évite de hardcoder la version exacte qui change à chaque release mensuelle de PortSwigger.

chmod +x burpsuite_community_linux_v2026_*.sh
./burpsuite_community_linux_v2026_*.sh

Le script affiche d’abord une bannière PortSwigger, puis vérifie qu’une JVM compatible est présente dans le cache local ~/.PortSwigger/. Si elle manque, il télécharge Eclipse Temurin 21 LTS depuis l’infrastructure PortSwigger (~80 Mo, 1 à 2 minutes sur une connexion limitée). Une fois l’archive en place, l’installateur graphique démarre — c’est le signal de réussite du téléchargement. En cas d’erreur X11 cannot connect to display, c’est que vous lancez sur un serveur sans X — installer en mode CLI avec l’option -q du script.

Le script télécharge la JVM Temurin bundlée à la première exécution si elle n’est pas trouvée localement (~80 Mo). Sur une connexion limitée, prévoir 1 à 2 minutes pour cette étape. L’installation se termine par la création d’un launcher dans ~/.local/share/applications/burpsuite_community.desktop.

L’installateur graphique s’ouvre. Acceptez la licence, choisissez le chemin (par défaut ~/BurpSuiteCommunity dans le home utilisateur, recommandé pour éviter les sudo plus tard). L’installation crée un lanceur dans votre menu d’applications et un raccourci shell BurpSuiteCommunity que vous pouvez ajouter à votre PATH.

Sur Kali Linux, Burp Community est généralement préinstallé. Vérifiez avec burpsuite en terminal — si la commande lance Burp, c’est bon. Pour Pro sur Kali, désinstallez d’abord la Community via apt, puis lancez l’installateur officiel Pro pour éviter les conflits.

Pour augmenter la RAM allouée à la JVM (utile si vous travaillez sur des projets larges), créez un script wrapper :

Wrapper de lancement personnalisé. L’argument -Xmx4g alloue 4 Go de heap maximum à la JVM — le défaut de Burp est à 1 Go, suffisant pour de la navigation simple mais bloquant dès qu’on lance un scan actif sur une application de taille moyenne (au-delà de 200 endpoints).

Pour augmenter la mémoire heap allouée à la JVM, créer un script wrapper dans ~/.local/bin/burp qui passe l’argument -Xmx (max heap size) au moment du lancement. La valeur dépend de votre RAM disponible — règle d’or : laisser au moins 4 Go au reste du système. Pour un poste 8 Go, -Xmx4g est le sweet spot Community :

#!/bin/bash
~/BurpSuiteCommunity/BurpSuiteCommunity --jvm-args="-Xmx4g"

Rendre le script exécutable (chmod +x ~/.local/bin/burp), s’assurer que ~/.local/bin est dans le PATH, puis lancer Burp en tapant simplement burp dans n’importe quel terminal. Vérification au runtime : ouvrir Help → Diagnostics dans Burp, la ligne Memory doit afficher Max: 4 GB. Si elle affiche 2 GB ou moins, c’est que la JVM bundlée a ignoré votre argument — vérifier que vous lancez bien le binaire BurpSuiteCommunity et non l’installateur .sh.

Pour les sessions intensives (bug bounty, audit avec extensions lourdes type Burp Bounty Pro ou JS Miner), passer à -Xmx8g. Au-delà de 8 Go, Burp profite peu : le bottleneck devient le single-threaded scanner. Toujours laisser au moins 4 Go libres pour l’OS.

Le flag -Xmx4g alloue jusqu’à 4 Go de RAM à Burp. Sur des sessions intensives, montez à -Xmx8g si votre machine le permet.

Étape 5 — Premier lancement et configuration projet

Au premier démarrage, Burp affiche l’écran de sélection de projet. Trois options : Temporary project (rien n’est sauvegardé sur disque, idéal pour des tests jetables), New project on disk (Pro uniquement, recommandé pour toute mission sérieuse), Open existing project (Pro uniquement). Sur Community, seul Temporary est disponible.

Pour Pro, créez un projet sur disque dès la première mission. Nommez-le selon le client ou la cible — par exemple ~/audits/2026-04-acme-corp.burp. Burp y écrira l’historique du Proxy, les findings du Scanner, les sessions Repeater et Intruder. Au prochain lancement, vous reprendrez exactement où vous étiez.

L’écran suivant propose un fichier de configuration de projet. Pour le premier lancement, gardez « Use Burp defaults ». Plus tard, vous voudrez sauvegarder vos configurations préférées (scope, options scanner, extensions actives) dans un fichier config.json que vous chargerez automatiquement pour chaque nouveau projet.

Étape 6 — Première vue de l’interface

L’interface se découpe en onglets horizontaux : Dashboard (état général, scans en cours), Target (arborescence du site testé, scope), Proxy (intercept et historique), Intruder, Repeater, Sequencer, Decoder, Comparer, Logger, Extender. Sur Pro, des onglets supplémentaires : Scanner, Collaborator client.

Familiarisez-vous avec la disposition. Cliquez sur chaque onglet une fois pour voir l’écran qu’il présente, sans toucher aux options. Cette reconnaissance visuelle vous fera gagner du temps quand vous chercherez une fonction précise sous pression de mission.

Étape 7 — Configurer le scope du projet

Avant tout test, définissez le scope. Onglet Target → Scope. Cliquez sur « Add » et entrez les domaines ou regex autorisés pour votre cible. Par exemple, pour un test sur app.exemple.com, ajoutez https://app.exemple.com/.* en mode regex.

Activez ensuite la case « Use advanced scope control » et configurez Burp pour logger uniquement les requêtes dans le scope. C’est dans Proxy → Options → « Logging of out-of-scope traffic » : décochez tout. Désormais, le Proxy ne stockera que ce qui touche votre cible — votre Gmail, vos onglets perso, vos services tiers ne polluent plus l’historique. Hygiène fondamentale.

Étape 8 — Activer la licence Pro

Pour Pro, après le premier lancement, allez dans Help → License Manager. Vous voyez un encadré « Update license ». Cliquez sur « Update license now ». Burp ouvre un assistant qui vous demande votre clé de licence (reçue par email de PortSwigger après achat) ou un fichier de licence. Collez la clé, validez. La connexion à PortSwigger active votre licence.

Au premier démarrage activé, Burp Pro vous propose de télécharger les fonctionnalités optionnelles (Scanner extensions, etc.). Acceptez. Comptez deux à trois minutes selon votre connexion. Une fois activé, l’écran de démarrage indique « Burp Suite Professional » au lieu de « Community » — c’est le signal visuel principal du basculement réussi. Vérification additionnelle dans Help → About : la ligne Edition doit afficher Professional. Si l’activation échoue avec License activation failed, deux causes principales : une horloge système décalée de plus de 5 minutes (vérifier avec w32tm /resync sous Windows ou timedatectl status sous Linux) ou un proxy d’entreprise qui bloque api.portswigger.net en HTTPS.

Étape 9 — Vérifier l’installation par un test minimal

Pour valider que tout fonctionne, faites un test de bout en bout. Onglet Proxy → Intercept. Cliquez sur « Open browser » — Burp lance un navigateur Chromium intégré préconfiguré avec le proxy et le certificat CA installé. Dans ce navigateur, allez sur https://portswigger.net. Revenez à Burp, onglet Proxy → HTTP history. Vous devez voir une liste de requêtes apparaître.

Si vous voyez les requêtes, votre installation est saine. Si rien n’apparaît, vérifiez que le navigateur intégré est bien lancé via le bouton « Open browser » de Burp et pas votre Chrome système. Pour utiliser votre navigateur système (Chrome, Firefox, Edge), il faut configurer manuellement le proxy HTTP sur 127.0.0.1:8080 et installer le certificat CA de Burp (téléchargeable sur http://burpsuite une fois le proxy actif) dans le magasin Trusted Root Certification Authorities. Le tutoriel Intercepter sa première requête détaille ces deux opérations pas à pas avec les screenshots correspondants.

Étape 10 — Sauvegarder votre configuration de référence

Une fois Burp configuré à votre goût (scope par défaut, logging hors scope désactivé, options Proxy ajustées), exportez la configuration. Burp menu → Settings → Export settings. Sauvegardez sous ~/burp-config-default.json.

Pour chaque nouveau projet, vous pourrez importer cette configuration en une opération, et démarrer immédiatement avec votre setup standard. Les pros de l’audit ont souvent plusieurs configurations sauvegardées : « audit léger », « audit complet », « bug bounty », « test JWT » — chacune avec ses options et extensions.

Erreurs fréquentes

Considérations propres à l’écosystème sous-régional

Pour un freelance ou consultant à Dakar, Abidjan ou Lomé qui débute, le matériel est souvent le facteur limitant. Si votre poste a 8 Go de RAM, démarrez sur Community avec des projets temporaires courts — vous verrez vite si la machine tient. Pour un vrai usage Pro, l’investissement dans un upgrade RAM à 16 Go est rentable dès la première mission longue : 30 000 à 50 000 FCFA pour une barrette DDR4 8 Go d’occasion sur un marché spécialisé local.

Pour la connexion à la PortSwigger Web Security Academy, qui héberge les labs en Europe, comptez environ 200 millisecondes de latence depuis l’Afrique de l’Ouest. C’est invisible pour les exercices manuels, perceptible mais acceptable pour les modules avec scoring automatique. Sur 4G stable ou fibre, l’expérience reste très bonne.

Pour l’achat de Pro avec une carte locale, le contournement le plus fiable est la carte virtuelle Mastercard ou Visa émise par votre wallet (Wave, Orange Money, MTN Money). Comptez environ 305 000 FCFA pour Pro à 499 dollars au taux de change courant, plus une petite commission d’émission. Demandez à PortSwigger une facture mentionnant « TVA non applicable, exportation hors UE » pour la passer en frais professionnels propres dans votre comptabilité locale.

Attention aux délais de livraison de la licence. PortSwigger envoie la clé par email après validation manuelle pour les nouveaux clients — comptez 24 à 48 heures parfois plus si votre paiement vient d’une zone moins habituelle pour eux. Anticipez si vous avez une mission qui démarre lundi : achetez le mercredi précédent. Pour un renouvellement, c’est immédiat. Pour les agences qui équipent plusieurs analystes, achetez les licences à des dates échelonnées plutôt que toutes le même mois — vous lissez le coût comptable et évitez les renouvellements groupés qui pèsent sur la trésorerie.

Tutoriels frères

• Intercepter sa première requête : Proxy + CA — la suite logique après l’installation.
• Extensions BApp essentielles à installer dès le premier jour — pour configurer Burp aux standards de la communauté.
• Exploitation web avec Burp Suite Community (cluster CEH) — angle certification, complémentaire.

Pour étoffer le tableau

• 🔝 Retour au pilier : Burp Suite : le guide pratique 2026
• Documentation officielle installation : portswigger.net/burp/documentation
• Téléchargement officiel : portswigger.net/burp
• Suggestion : enchaînez avec Intercepter sa première requête pour configurer le proxy navigateur.

FAQ

Burp Community a-t-il une limite de durée d’usage ?
Non, Community est gratuit sans limite. Les bridages portent sur les fonctionnalités (Intruder ralenti, pas de Scanner, pas de Collaborator) et non sur le temps.

Puis-je installer Pro sur plusieurs machines avec une seule licence ?
La licence est nominative, par utilisateur. PortSwigger autorise raisonnablement l’installation sur votre poste principal et un poste secondaire (laptop pro + perso). Pour de multiples utilisateurs, vous achetez plusieurs licences.

Quelle version de Java Burp utilise-t-il en interne ?
Burp embarque sa propre JVM Temurin (anciennement OpenJDK), version 17 ou 21 selon la build. Vous n’avez pas à gérer Java sur votre système — sauf si vous lancez Burp via la JAR standalone, auquel cas il faut Java 17+ installé.

Burp peut-il tourner en headless pour un CI ?
Pas la version desktop. Pour les usages CI/automation, c’est Burp Suite Enterprise Edition, scriptable via API REST. Pour un usage manuel et semi-automatique, Pro est l’outil.

Comment mettre à jour Burp ?
Pro vérifie les mises à jour au démarrage et propose le téléchargement automatique. Pour Community, mettez à jour manuellement en téléchargeant la nouvelle version sur portswigger.net et en remplaçant l’installation existante. Vos projets restent compatibles entre versions mineures.

Mots-clés secondaires : installation Burp Suite, Burp Pro 2026, Burp Community, configuration projet, Java JVM, Windows Linux Mac.

Pour aller plus loin avec Burp Suite

• Préparer PECB Lead Ethical Hacker : home-lab et examen pratique
• Préparer PECB Lead Pen Test Professional : méthodologie et reporting
• Certifications PECB 2026 : panorama, parcours et examens ISO
• CISSP Domaine 6 — Security Assessment and Testing : audit, pentest et KPI pas-à-pas
• Burp Suite Proxy : intercepter sa première requête + certificat CA (2026)