Nikto : l’outil open source incontournable pour tester les serveurs web

Qu’est-ce que Nikto ?

Nikto est un scanner de vulnérabilités open source conçu pour détecter les failles des serveurs web. Développé dans le langage de programmation Perl, cet outil peut analyser plus de 6 700 types d’éléments différents pour repérer les fichiers sensibles, les mauvaises configurations, ou encore les composants obsolètes.

Nikto est donc comparable à un système d’alarme : il détecte les vulnérabilités informatiques et vous signale l’existence de problèmes, mais n’est pas capable de les exploiter à lui seul.

Qui utilise l’outil Nikto ?

Plusieurs métiers de la cybersécurité utilisent Nikto au quotidien :

• Les Pentesters, qui l’utilisent pour cartographier les vulnérabilités web du système dont ils testent la sécurité.  
• Les administrateurs réseau et les RSSI, qui s’en servent pour garder un œil sur les faiblesses des serveurs qu’ils maintiennent.  
• Les équipes IT, qui l’utilisent lors de leurs audits de sécurité ou avant une mise en production.  
• Les hackers malveillants, qui peuvent le détourner pour préparer leurs cyberattaques et identifier les failles de sécurité des serveurs web.

Quelles sont les différences entre OpenVAS et Nikto ?

OpenVAS comme Nikto sont des scanners de vulnérabilités, mais ils ne jouent pas dans la même cour :

• OpenVAS est un scanner réseau complet, qui vous donne une vue globale de la sécurité d’une infrastructure. Il peut ainsi détecter les ports ouverts, les services exposés, les configurations à risque, les logiciels ou OS obsolètes…  
• Nikto, lui, se concentre exclusivement sur les serveurs web. Il est ainsi conçu pour analyser un serveur HTTP/HTTPS et détecter les failles les plus courantes : fichiers sensibles accessibles, configurations incorrectes, scripts vulnérables, headers non sécurisés…

Mais ces deux outils peuvent être complémentaires lors d’un test de pénétration : OpenVAS vous montre où chercher, Nikto vous permet de comprendre ce qui pose problème sur votre serveur web.

Est-ce légal d’utiliser le Scan de réseau Nikto ?

Oui, il est légal d’utiliser Nikto si vous avez l’accord explicite du propriétaire du serveur testé. Et dans ce cas, l’utiliser est même recommandé, car cet outil gratuit vous permettra de détecter et de corriger les vulnérabilités web avant qu’elles ne soient exploitées à des fins malveillantes.

Mais si vous utilisez Nikto pour scanner un réseau sans autorisation, vous franchissez une ligne rouge et entrez dans l’illégalité. Même si vous vous contentez d’analyser le système sans chercher à exploiter ses vulnérabilités, vous vous exposez alors à une peine de 3 ans d’emprisonnement et 100 000 € d’amende (article 323-1 du Code pénal). Si les vulnérabilités détectées sont ensuite utilisées dans le cadre d’une cyberattaque, vous risquez jusqu’à 5 ans d’emprisonnement et 150 000 € d’amende (votre peine pouvant être portée à 7 ans de réclusion et 300 000 € d’amende si vous vous en prenez à une infrastructure étatique).

Vous pensez être assez malin et pouvoir l’utiliser sans vous faire prendre ? Détrompez-vous. Loin d’être furtif, Nikto laisse une empreinte dans les logs des serveurs analysés, qui peuvent permettre de remonter jusqu’à votre adresse IP.

Nikto est-il gratuit ?

Oui, Nikto est un outil de pentest open source et 100 % gratuit ! Vous n’avez ainsi pas à débourser un centime pour pouvoir le télécharger, l’utiliser, ou même le modifier si vous en avez les compétences.

Comment fonctionne Nikto ?

À quoi sert Nikto pour l’Ethical Hacking ?

Les Ethical Hackers utilisent Nikto lors de leurs tests de pénétration et audits de sécurité pour :

• Évaluer la sécurité d’un serveur web en identifiant les failles les plus communes.  
• Repérer les mauvaises configurations HTTP ou SSL/TLS qui exposent inutilement le serveur.  
• Détecter des fichiers ou répertoires sensibles laissés accessibles par erreur (ex : /admin, /backup, etc.).  
• Relever les erreurs qui peuvent être exploitées par des attaquants, comme les réponses anormales du serveur ou les modules non sécurisés.

En bref, Nikto joue un peu le rôle d’un « éclaireur ». Grâce à lui, un Pentester peut dresser la liste de toutes les failles de sécurité d’un serveur web pour pouvoir les corriger avant qu’elles ne soient exploitées par des pirates informatiques.

Quel type de vulnérabilités Nikto permet-il de trouver ?

Nikto peut vous montrer tout ce que les développeurs ou les admins ont laissé traîner sur un serveur web, et que les pirates pourraient exploiter à leur guise. Cela inclut plusieurs types de vulnérabilités :

• Les erreurs HTTP et les codes de réponse suspects, qui peuvent signaler un comportement anormal ou une faille potentielle.  
• Les failles dans les certificats SSL/TLS, comme l’absence de chiffrement ou l’usage d’algorithmes dépassés.  
• Les fichiers sensibles exposés (comme admin.php, config.old, backup.sql…), qui permettent aux hackers de s’infiltrer dans vos systèmes s’ils sont mal protégés.  
• Les technologies obsolètes et les logiciels non mis à jour utilisés sur votre serveur, qui sont souvent bourrés de vulnérabilités connues et documentées.

Comment installer Nikto sur votre ordinateur ?

Bonne nouvelle : Nikto est facile à installer, et dans certains cas, vous n’aurez même pas besoin de le faire :

• Si vous utilisez Kali Linux, sachez que Nikto est inclus parmi les plus de 600 outils préinstallés sur cette distribution spécialisée dans la cybersécurité.  
• Pour les autres versions de Linux, vous devrez installer le paquet Nikto en envoyant les commandes adaptées à votre distribution.  
• Sur macOS, vous pourrez télécharger Nikto en passant par Homebrew.  
• Sur Windows, vous devrez d’abord installer Perl for Windows et Git, puis vous pourrez télécharger Nikto depuis son dépôt officiel GitHub.

Comment se former à la cybersécurité ?

Connaître des outils comme Nikto, c’est bien, savoir quand les utiliser et comment corriger les failles détectées, c’est mieux. Mais pour cela, il est essentiel de vous former, surtout si vous envisagez de vous reconvertir pour travailler dans la cybersécurité. Chez Jedha, nous vous proposons justement un parcours de formation adapté à votre niveau de départ, et éligible au CPF :

• Si besoin, commencez par notre formation en cybersécurité pour débutant, qui vous permettra d’acquérir des bases solides en cyberdéfense.  
• Continuez en suivant notre formation en sécurité informatique, qui vous apprendra à utiliser les outils essentiels, dont Nikto, pour sécuriser une infrastructure informatique.  
• Rejoignez notre formation pour devenir expert en cybersécurité et développer des compétences de pointe et recherchées sur le marché du travail.

Envie de sauter le pas ? Rien de plus simple !

1. Téléchargez notre syllabus pour découvrir nos formations en cybersécurité en détail.  
2. Rejoignez-nous lors de notre prochaine Soirée Portes Ouvertes en ligne.  
3. Prenez rendez-vous avec l’un de nos conseillers pour définir votre projet professionnel, et discuter des aides auxquelles vous pourriez être éligible.

Questions fréquentes à propos de Nikto

Quels sont les avantages et limites de Nikto ?

Nikto est un excellent outil pour commencer un audit de sécurité web, notamment car :

• Il est gratuit et open source.  
• Il est facile à prendre en main.  
• Il dispose d’une large base de vulnérabilités connues (fichiers sensibles, headers, erreurs HTTP…).  
• Il vous permet d’effectuer une première cartographie des failles visibles très rapidement.

Mais comme tout outil, il a également quelques faiblesses :

• Il n’est pas discret, ses scans étant facilement repérables dans les logs.  
• Il ne détecte que les failles connues et évidentes.  
• Il ne permet pas d’exploiter les vulnérabilités détectées, et n’offre pas d’analyse contextuelle, ce qui limite son utilisation en pentesting.  
• Vous devrez le combiner avec d’autres outils pour effectuer une analyse complète.

En résumé, vous pouvez comparer Nikto à un thermomètre. En cas de problème sur un serveur web, il vous indiquera qu’il y a de la fièvre, mais ne vous montrera pas forcément d’où vient le problème. Pour trouver le traitement adapté, vous devrez ainsi coupler son utilisation à d’autres outils.

Quels outils utiliser en complément de Nikto ?

Pour réaliser un audit de sécurité web complet, vous devrez utiliser d’autres outils en complément de Nikto. Voici quelques incontournables :

• Nmap, qui vous permettra de cartographier tous les ports ouverts sur un réseau.  
• Burp Suite, utile pour analyser et manipuler les requêtes HTTP en profondeur, et idéal pour trouver des failles XSS ou SQLi.  
• OpenVAS, un scanner de vulnérabilités réseau très complet.  
• WhatWeb ou Wappalyzer, qui vous permettront d’identifier les technologies utilisées par un site.  
• Metasploit, qui vous permettra de réaliser des tests de pénétration et d’exploiter les failles détectées.