Installer et configurer Burp Suite en 2026 (Windows, Linux, Mac)

📍 Article principal du cluster : Burp Suite : le guide pratique 2026
Cet article fait partie du cluster « Burp Suite 2026 ». Lisez d’abord le pilier pour la vue d’ensemble — éditions, architecture interne, écosystème.

Cadre éthique préalable. Tout test à venir doit se faire dans un périmètre légal : labs personnels (DVWA, OWASP Juice Shop, PortSwigger Web Security Academy), Hack The Box, TryHackMe, ou programmes de bug bounty officiels. Aucun test sur un système tiers sans autorisation écrite explicite. Ce rappel n’est pas optionnel — il conditionne la légalité de tout ce qui suit.

L’installation de Burp Suite paraît triviale. Téléchargez, double-cliquez, c’est parti. En réalité, plusieurs choix faits au moment de l’installation déterminent votre confort des semaines suivantes : la quantité de RAM allouée, la version de Java utilisée, la séparation des projets, l’emplacement de stockage. Ce tutoriel pose les bonnes décisions pas-à-pas, sur les trois systèmes d’exploitation.

Prérequis

• Une machine avec 16 Go de RAM minimum pour un usage Pro confortable, 8 Go acceptable pour Community sur sessions courtes.
• Au moins 5 Go de disque pour Burp + projets + extensions.
• Un système d’exploitation 64 bits récent : Windows 10/11, macOS 12+, Ubuntu 22.04+, Debian 12+, Kali Linux à jour.
• Une connexion Internet pour le téléchargement et la première activation.
• Pour Pro : un email de licence reçu de PortSwigger après achat.
• Niveau : débutant à intermédiaire.
• Temps estimé : 30 minutes (Community) à 60 minutes (Pro avec configuration projet).

Étape 1 — Télécharger l’installateur officiel

Allez exclusivement sur le site officiel portswigger.net/burp. Pour Community, descendez sur la page produit et cliquez sur « Get Community ». Pour Pro, après achat, vous avez reçu un email contenant un lien de téléchargement personnalisé et votre clé de licence.

Pourquoi le rappel sur la source officielle ? Burp Suite est l’un des outils les plus contrefaits en cracks et keygens distribués sur des forums obscurs. Ces versions sont systématiquement infectées — backdoor, mineur de cryptomonnaie, voleur de credentials. Pour un outil dont le métier est précisément de manipuler des sessions sensibles, c’est l’auto-sabotage. Restez sur le canal officiel, point.

Choisissez l’installateur correspondant à votre système : .exe pour Windows, .dmg pour macOS, .sh ou .tar.gz pour Linux. L’installateur fait environ 200 Mo. Le téléchargement prend quelques minutes selon votre bande passante.

Étape 2 — Installer sur Windows

Double-cliquez sur le .exe téléchargé. L’installateur Inno Setup s’ouvre. Acceptez la licence (lisez-la au moins une fois — elle restreint certains usages, notamment la décompilation et la redistribution). Choisissez l’emplacement d’installation : le défaut C:\Program Files\BurpSuite\ convient, sauf si vous préférez un dossier sans espaces (utile pour certaines extensions).

Emplacement recommandé : C:\Program Files\BurpSuiteCommunity\
Ou pour Pro : C:\Program Files\BurpSuitePro\

L’installation prend deux à trois minutes. À la fin, un raccourci est créé sur le bureau et dans le menu Démarrer. Lancez-le. Au premier démarrage, Windows Defender ou votre antivirus va probablement marquer Burp comme suspect — c’est attendu pour un outil dont la fonction est d’inspecter du trafic. Ajoutez une exception sur le binaire et le dossier d’installation pour éviter les ralentissements et faux positifs.

Sur Windows, Burp embarque sa propre JVM dans le sous-dossier jre/ — vous n’avez rien à installer en plus côté Java. Si l’application refuse de démarrer, vérifiez les logs dans %AppData%\BurpSuite\.

Étape 3 — Installer sur macOS

Ouvrez le .dmg téléchargé. Glissez l’icône Burp Suite dans le dossier Applications. Au premier lancement, macOS Gatekeeper va probablement bloquer l’application au motif qu’elle vient d’un développeur non vérifié — bien que PortSwigger soit signé, certaines versions transitionnent. Si c’est le cas, ouvrez Préférences Système → Sécurité et confidentialité, et cliquez sur « Ouvrir quand même » pour Burp Suite. Cette autorisation n’est demandée qu’une fois.

# Vérifier la version de Java disponible (informatif, Burp embarque la sienne)
java -version
# La JVM officielle Temurin 17+ est compatible si vous lancez Burp en ligne de commande

Sur macOS Apple Silicon (M1/M2/M3), choisissez la build native ARM proposée par PortSwigger pour de meilleures performances. La version Intel tourne via Rosetta mais consomme plus de batterie et de RAM.

Étape 4 — Installer sur Linux

Sur Debian, Ubuntu ou Kali, le plus simple est l’installateur shell .sh téléchargé sur portswigger.net. Rendez-le exécutable et lancez-le :

chmod +x burpsuite_community_linux_v2026_*.sh
./burpsuite_community_linux_v2026_*.sh

L’installateur graphique s’ouvre. Acceptez la licence, choisissez le chemin (par défaut ~/BurpSuiteCommunity dans le home utilisateur, recommandé pour éviter les sudo plus tard). L’installation crée un lanceur dans votre menu d’applications et un raccourci shell BurpSuiteCommunity que vous pouvez ajouter à votre PATH.

Sur Kali Linux, Burp Community est généralement préinstallé. Vérifiez avec burpsuite en terminal — si la commande lance Burp, c’est bon. Pour Pro sur Kali, désinstallez d’abord la Community via apt, puis lancez l’installateur officiel Pro pour éviter les conflits.

Pour augmenter la RAM allouée à la JVM (utile si vous travaillez sur des projets larges), créez un script wrapper :

#!/bin/bash
~/BurpSuiteCommunity/BurpSuiteCommunity --jvm-args="-Xmx4g"

Le flag -Xmx4g alloue jusqu’à 4 Go de RAM à Burp. Sur des sessions intensives, montez à -Xmx8g si votre machine le permet.

Étape 5 — Premier lancement et configuration projet

Au premier démarrage, Burp affiche l’écran de sélection de projet. Trois options : Temporary project (rien n’est sauvegardé sur disque, idéal pour des tests jetables), New project on disk (Pro uniquement, recommandé pour toute mission sérieuse), Open existing project (Pro uniquement). Sur Community, seul Temporary est disponible.

Pour Pro, créez un projet sur disque dès la première mission. Nommez-le selon le client ou la cible — par exemple ~/audits/2026-04-acme-corp.burp. Burp y écrira l’historique du Proxy, les findings du Scanner, les sessions Repeater et Intruder. Au prochain lancement, vous reprendrez exactement où vous étiez.

L’écran suivant propose un fichier de configuration de projet. Pour le premier lancement, gardez « Use Burp defaults ». Plus tard, vous voudrez sauvegarder vos configurations préférées (scope, options scanner, extensions actives) dans un fichier config.json que vous chargerez automatiquement pour chaque nouveau projet.

Étape 6 — Première vue de l’interface

L’interface se découpe en onglets horizontaux : Dashboard (état général, scans en cours), Target (arborescence du site testé, scope), Proxy (intercept et historique), Intruder, Repeater, Sequencer, Decoder, Comparer, Logger, Extender. Sur Pro, des onglets supplémentaires : Scanner, Collaborator client.

Familiarisez-vous avec la disposition. Cliquez sur chaque onglet une fois pour voir l’écran qu’il présente, sans toucher aux options. Cette reconnaissance visuelle vous fera gagner du temps quand vous chercherez une fonction précise sous pression de mission.

Étape 7 — Configurer le scope du projet

Avant tout test, définissez le scope. Onglet Target → Scope. Cliquez sur « Add » et entrez les domaines ou regex autorisés pour votre cible. Par exemple, pour un test sur app.exemple.com, ajoutez https://app.exemple.com/.* en mode regex.

Activez ensuite la case « Use advanced scope control » et configurez Burp pour logger uniquement les requêtes dans le scope. C’est dans Proxy → Options → « Logging of out-of-scope traffic » : décochez tout. Désormais, le Proxy ne stockera que ce qui touche votre cible — votre Gmail, vos onglets perso, vos services tiers ne polluent plus l’historique. Hygiène fondamentale.

Étape 8 — Activer la licence Pro

Pour Pro, après le premier lancement, allez dans Help → License Manager. Vous voyez un encadré « Update license ». Cliquez sur « Update license now ». Burp ouvre un assistant qui vous demande votre clé de licence (reçue par email de PortSwigger après achat) ou un fichier de licence. Collez la clé, validez. La connexion à PortSwigger active votre licence.

Au premier démarrage activé, Burp Pro vous propose de télécharger les fonctionnalités optionnelles (Scanner extensions, etc.). Acceptez. Comptez deux à trois minutes selon votre connexion. Une fois activé, l’écran de démarrage indique « Burp Suite Professional » — c’est le signal que vous êtes en Pro.

Étape 9 — Vérifier l’installation par un test minimal

Pour valider que tout fonctionne, faites un test de bout en bout. Onglet Proxy → Intercept. Cliquez sur « Open browser » — Burp lance un navigateur Chromium intégré préconfiguré avec le proxy et le certificat CA installé. Dans ce navigateur, allez sur https://portswigger.net. Revenez à Burp, onglet Proxy → HTTP history. Vous devez voir une liste de requêtes apparaître.

Si vous voyez les requêtes, votre installation est saine. Si rien n’apparaît, vérifiez que le navigateur intégré est bien lancé via le bouton « Open browser » de Burp et pas votre Chrome système. Pour utiliser votre navigateur système, le tutoriel Intercepter sa première requête détaille la configuration du proxy et l’installation du certificat CA.

Étape 10 — Sauvegarder votre configuration de référence

Une fois Burp configuré à votre goût (scope par défaut, logging hors scope désactivé, options Proxy ajustées), exportez la configuration. Burp menu → Settings → Export settings. Sauvegardez sous ~/burp-config-default.json.

Pour chaque nouveau projet, vous pourrez importer cette configuration en une opération, et démarrer immédiatement avec votre setup standard. Les pros de l’audit ont souvent plusieurs configurations sauvegardées : « audit léger », « audit complet », « bug bounty », « test JWT » — chacune avec ses options et extensions.

Erreurs fréquentes

Adaptation au contexte ouest-africain

Pour un freelance ou consultant à Dakar, Abidjan ou Lomé qui débute, le matériel est souvent le facteur limitant. Si votre poste a 8 Go de RAM, démarrez sur Community avec des projets temporaires courts — vous verrez vite si la machine tient. Pour un vrai usage Pro, l’investissement dans un upgrade RAM à 16 Go est rentable dès la première mission longue : 30 000 à 50 000 FCFA pour une barrette DDR4 8 Go d’occasion sur un marché spécialisé local.

Pour la connexion à la PortSwigger Web Security Academy, qui héberge les labs en Europe, comptez environ 200 millisecondes de latence depuis l’Afrique de l’Ouest. C’est invisible pour les exercices manuels, perceptible mais acceptable pour les modules avec scoring automatique. Sur 4G stable ou fibre, l’expérience reste très bonne.

Pour l’achat de Pro avec une carte locale, le contournement le plus fiable est la carte virtuelle Mastercard ou Visa émise par votre wallet (Wave, Orange Money, MTN Money). Comptez environ 305 000 FCFA pour Pro à 499 dollars au taux de change courant, plus une petite commission d’émission. Demandez à PortSwigger une facture mentionnant « TVA non applicable, exportation hors UE » pour la passer en frais professionnels propres dans votre comptabilité locale.

Attention aux délais de livraison de la licence. PortSwigger envoie la clé par email après validation manuelle pour les nouveaux clients — comptez 24 à 48 heures parfois plus si votre paiement vient d’une zone moins habituelle pour eux. Anticipez si vous avez une mission qui démarre lundi : achetez le mercredi précédent. Pour un renouvellement, c’est immédiat. Pour les agences qui équipent plusieurs analystes, achetez les licences à des dates échelonnées plutôt que toutes le même mois — vous lissez le coût comptable et évitez les renouvellements groupés qui pèsent sur la trésorerie.

Tutoriels frères

• Intercepter sa première requête : Proxy + CA — la suite logique après l’installation.
• Extensions BApp essentielles à installer dès le premier jour — pour configurer Burp aux standards de la communauté.
• Exploitation web avec Burp Suite Community (cluster CEH) — angle certification, complémentaire.

Pour aller plus loin

• 🔝 Retour au pilier : Burp Suite : le guide pratique 2026
• Documentation officielle installation : portswigger.net/burp/documentation
• Téléchargement officiel : portswigger.net/burp
• Suggestion : enchaînez avec Intercepter sa première requête pour configurer le proxy navigateur.

FAQ

Burp Community a-t-il une limite de durée d’usage ?
Non, Community est gratuit sans limite. Les bridages portent sur les fonctionnalités (Intruder ralenti, pas de Scanner, pas de Collaborator) et non sur le temps.

Puis-je installer Pro sur plusieurs machines avec une seule licence ?
La licence est nominative, par utilisateur. PortSwigger autorise raisonnablement l’installation sur votre poste principal et un poste secondaire (laptop pro + perso). Pour de multiples utilisateurs, vous achetez plusieurs licences.

Quelle version de Java Burp utilise-t-il en interne ?
Burp embarque sa propre JVM Temurin (anciennement OpenJDK), version 17 ou 21 selon la build. Vous n’avez pas à gérer Java sur votre système — sauf si vous lancez Burp via la JAR standalone, auquel cas il faut Java 17+ installé.

Burp peut-il tourner en headless pour un CI ?
Pas la version desktop. Pour les usages CI/automation, c’est Burp Suite Enterprise Edition, scriptable via API REST. Pour un usage manuel et semi-automatique, Pro est l’outil.

Comment mettre à jour Burp ?
Pro vérifie les mises à jour au démarrage et propose le téléchargement automatique. Pour Community, mettez à jour manuellement en téléchargeant la nouvelle version sur portswigger.net et en remplaçant l’installation existante. Vos projets restent compatibles entre versions mineures.

Mots-clés secondaires : installation Burp Suite, Burp Pro 2026, Burp Community, configuration projet, Java JVM, Windows Linux Mac.