LabEx
EntrerRejoindre

Installer le certificat CA de Burp dans Firefox

Beginner
Pratiquer maintenant

Introduction

Burp Suite est un outil proxy puissant utilisé pour les tests de sécurité des applications web. Il se place entre votre navigateur et le serveur web cible, vous permettant d'intercepter, d'inspecter et de modifier le trafic passant dans les deux sens.

Pour inspecter le trafic HTTPS, qui est chiffré, Burp Suite doit effectuer une attaque de type "man-in-the-middle" (MitM) sur votre propre trafic. Il interrompt la connexion TLS du serveur et en établit une nouvelle avec votre navigateur. Pour que votre navigateur accepte cette nouvelle connexion sans avertissements de sécurité, il doit faire confiance au certificat présenté par Burp Suite.

Dans ce laboratoire, vous apprendrez comment télécharger et installer le certificat unique de l'Autorité de Certification (CA) de Burp Suite dans le navigateur Firefox. C'est une étape de configuration fondamentale pour quiconque souhaite utiliser Burp Suite pour des tests de sécurité.

Dans cette étape, vous allez démarrer Burp Suite et Firefox, puis naviguer vers une URL spéciale de Burp Suite pour accéder à la page de téléchargement du certificat. L'environnement de laboratoire de Firefox est pré-configuré pour utiliser Burp Suite comme proxy.

Tout d'abord, vous devez lancer Burp Suite.

  1. Cliquez sur le menu "Applications" en haut à gauche du bureau.
  2. Allez dans "Autres" et sélectionnez "Burp Suite Community Edition".
  3. Une boîte de dialogue apparaîtra. Vous pouvez laisser les paramètres par défaut ("Projet temporaire") et cliquer sur "Suivant".
  4. Une autre boîte de dialogue apparaîtra. Cliquez sur "Démarrer Burp".

Une fois Burp Suite en cours d'exécution, ouvrez le navigateur Firefox.

  1. Cliquez sur l'icône Firefox dans le dock des applications en bas de l'écran.

Avec les deux applications en cours d'exécution, ouvrez un nouvel onglet dans Firefox et tapez l'adresse suivante dans la barre d'adresse, puis appuyez sur Entrée :

http://burpsuite

Vous devriez voir la page d'accueil de Burp Suite. Cette page est servie directement depuis le proxy Burp Suite et n'est accessible que lorsque votre navigateur est correctement configuré pour l'utiliser.

Télécharger le fichier du certificat CA

Dans cette étape, vous allez télécharger le fichier du certificat CA de Burp depuis la page d'accueil que vous venez d'ouvrir.

Sur la page http://burpsuite, vous verrez un lien dans le coin supérieur droit intitulé "CA Certificate".

  1. Cliquez sur le lien CA Certificate.
  2. Une boîte de dialogue de téléchargement de fichier apparaîtra. Firefox vous demandera quoi faire avec le fichier.
  3. Assurez-vous que l'option "Enregistrer le fichier" est sélectionnée et cliquez sur "OK".

Le navigateur téléchargera un fichier nommé cacert.der. Par défaut, il sera enregistré dans le répertoire Downloads, situé à /home/labex/Downloads. Nous aurons besoin de ce fichier dans les étapes à venir.

Ouvrir le gestionnaire de certificats de Firefox

Dans cette étape, vous allez naviguer dans les paramètres de Firefox pour ouvrir le Gestionnaire de certificats. C'est ici que Firefox stocke tous ses certificats de confiance.

Suivez attentivement ces instructions dans le navigateur Firefox :

  1. Cliquez sur le bouton du menu de l'application (les trois lignes horizontales) dans le coin supérieur droit de la fenêtre Firefox.
  2. Dans le menu déroulant, sélectionnez Paramètres.
  3. Dans l'onglet Paramètres qui s'ouvre, cliquez sur Vie privée et sécurité dans le volet de navigation de gauche.
  4. Faites défiler la page jusqu'en bas pour trouver la section Certificats.
  5. Cliquez sur le bouton Afficher les certificats....

Cela ouvrira la fenêtre "Gestionnaire de certificats", qui comporte plusieurs onglets tels que "Vos certificats", "Personnes", "Serveurs" et "Autorités".

Importer le certificat téléchargé dans l'onglet 'Autorités'

Dans cette étape, vous allez importer le fichier cacert.der que vous avez téléchargé précédemment. Comme ce certificat agit en tant qu'Autorité de Certification (CA), il doit être importé dans l'onglet "Autorités".

Dans la fenêtre "Gestionnaire de certificats" que vous avez ouverte à l'étape précédente :

  1. Assurez-vous d'avoir sélectionné l'onglet Autorités.
  2. Cliquez sur le bouton Importer... situé en bas de la fenêtre.
  3. Une boîte de dialogue "Ouvrir un fichier" apparaîtra. Par défaut, elle peut s'ouvrir dans le répertoire ~/project. Vous devez naviguer vers le répertoire Downloads où le certificat a été enregistré. Cliquez sur Downloads dans le volet de gauche.
  4. Sélectionnez le fichier cacert.der.
  5. Cliquez sur le bouton Ouvrir.

Après avoir cliqué sur "Ouvrir", une nouvelle boîte de dialogue apparaîtra, vous demandant de définir les niveaux de confiance pour ce certificat. Nous configurerons cela à l'étape suivante.

Faire confiance à la CA PortSwigger pour les sites web

C'est l'étape finale et la plus importante. Vous devez explicitement indiquer à Firefox de faire confiance au certificat importé pour identifier les sites web. C'est ce qui permet à Burp Suite d'intercepter le trafic HTTPS sans provoquer d'erreurs dans le navigateur.

Après avoir sélectionné le fichier cacert.der à l'étape précédente, une boîte de dialogue intitulée "Téléchargement de certificat" apparaîtra. Elle vous demandera de définir les paramètres de confiance pour la "PortSwigger CA".

  1. Dans cette boîte de dialogue, cochez la case à côté de Faire confiance à cette CA pour identifier les sites web.
  2. Laissez la autre case ("Faire confiance à cette CA pour identifier les utilisateurs de courriels") décochée.
  3. Cliquez sur le bouton OK pour enregistrer les paramètres de confiance.

Le certificat est maintenant installé. Vous devriez voir "PortSwigger" listé comme autorité de certification dans l'onglet "Autorités" du Gestionnaire de certificats.

  1. Cliquez sur OK pour fermer la fenêtre du Gestionnaire de certificats.
  2. Vous pouvez maintenant fermer l'onglet Paramètres dans Firefox.

Vous avez installé avec succès le certificat CA de Burp !

Résumé

Dans ce laboratoire, vous avez accompli une tâche de configuration essentielle pour l'utilisation de Burp Suite. Vous avez lancé avec succès Burp Suite, utilisé Firefox pour télécharger son certificat CA unique, et importé ce certificat dans le magasin de confiance du navigateur.

En faisant confiance à la CA PortSwigger, vous avez configuré Firefox pour permettre à Burp Suite d'agir comme un homme du milieu (man-in-the-middle), vous autorisant à intercepter, visualiser et modifier le trafic HTTPS chiffré à des fins de tests de sécurité. Cette compétence est fondamentale pour toute personne travaillant dans la sécurité des applications web. Félicitations pour avoir terminé le laboratoire !