Nikto : l’outil open source pour détecter les failles web

En 2025, 2 209 signalements et 1 366 incidents ont été recensés par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Derrière ces chiffres, une réalité concrète : une grande partie des attaques web exploite des vulnérabilités connues, souvent liées à des erreurs de configuration ou à des composants non mis à jour.

Dans de nombreux cas, les failles ne sont ni complexes ni invisibles, elles sont simplement ignorées. C’est précisément sur ce terrain qu’intervient Nikto. Cet outil open source permet en effet de détecter rapidement des points faibles sur un site web, sans configuration lourde ni expertise avancée. Pour un site WordPress ou une plateforme gaming, c’est souvent une première étape utile pour éviter des erreurs faciles à exploiter.

Qu’est-ce que Nikto ?

Nikto est un scanner de vulnérabilités web qui analyse un serveur HTTP à la recherche de failles connues. Il ne tente pas d’exploiter les vulnérabilités : il se contente de les identifier en envoyant des requêtes et en analysant les réponses du serveur.

Il permet notamment de repérer :

  • Les fichiers sensibles accessibles publiquement ;
  • Les versions logicielles obsolètes ;
  • D’éventuelles erreurs de configuration serveur ;
  • Ainsi que les endpoints ou scripts exposés inutilement.

Son intérêt tient dans donc sa simplicité : en quelques minutes, il offre une vision globale des faiblesses évidentes d’un site.

Les failles que Nikto peut révéler

Sur un site WordPress, Nikto peut par exemple détecter :

  • Un fichier de sauvegarde laissé sur le serveur ;
  • Un plugin vulnérable encore actif ;
  • Une version PHP obsolète visible dans les en-têtes ;
  • Et même des répertoires accessibles sans restriction.

Ce type de problème est fréquent, notamment sur des sites maintenus de manière irrégulière. Pour limiter ces risques, il est utile de s’appuyer sur des bases solides et de rester informé des menaces émergentes en matière de cybersécurité.

Comment fonctionne Nikto ?

Nikto s’appuie sur une base de données de vulnérabilités connues. Son fonctionnement repose donc sur une logique simple :

  • Il envoie des requêtes HTTP vers une cible ;
  • Teste des chemins et fichiers connus ;
  • Analyse ensuite les réponses du serveur ;
  • Et compare les résultats avec sa base de signatures.

Le rapport généré liste les anomalies détectées ainsi que leur niveau de criticité.

Limite importante : Nikto est un outil dit “bruyant”. En effet, il envoie de nombreuses requêtes en peu de temps, ce qui le rend facilement détectable par des systèmes de sécurité. Il est donc adapté à un audit interne, mais peu pertinent dans une logique de test discret.

Installer Nikto et lancer un scan selon votre système d’exploitation

L’installation de Nikto varie légèrement selon l’environnement utilisé, mais reste globalement accessible, même sans expertise avancée en administration système. Voici les principales méthodes selon votre système d’exploitation.

Sur Linux (Debian / Ubuntu)

Sur les distributions basées sur Debian, Nikto est disponible directement via le gestionnaire de packs. L’installation ne prend alors que quelques secondes :

sudo apt update
sudo apt install nikto

C’est la méthode la plus simple pour commencer rapidement, notamment en environnement de test.

Sur macOS

Sur macOS, l’installation passe par Homebrew. Si ce gestionnaire de packs est déjà installé, alors la commande suivante suffit :

brew install nikto

À noter : Nikto repose sur Perl, qui est déjà présent sur la plupart des versions de macOS.

Sur Windows

L’installation est un peu différente car Nikto nécessite un environnement Perl pour fonctionner :

  • Installer une distribution Perl (comme Strawberry Perl) ;
  • Télécharger Nikto depuis le dépôt officiel GitHub ;
  • Puis lancer l’outil via l’invite de commande.

Cette configuration demande quelques manipulations supplémentaires, mais reste accessible avec un guide pas à pas.

Lancer un premier scan

Une fois Nikto installé, un scan basique peut être lancé avec une seule et même commande :

nikto -h https://exemple.com

Nikto va alors analyser la cible en envoyant différentes requêtes et en comparant les réponses avec sa base de vulnérabilités.

Comment interpréter les résultats ?

Le rapport généré met en évidence :

  • Les vulnérabilités potentielles ;
  • Les fichiers ou endpoints exposés ;
  • Mais aussi les configurations à risque.

Point important : tous les résultats ne sont pas forcément exploitables. Certains peuvent être de faux positifs par exemple. Il est donc recommandé de vérifier les alertes critiques manuellement ou avec d’autres outils.

Nikto face aux autres outils

Nikto se distingue par sa rapidité, mais il reste limité face à des solutions plus complètes.

Outil Usage principal Niveau
Nikto Scan rapide de failles connues Débutant à intermédiaire
OWASP ZAP Audit web complet Intermédiaire
Burp Suite Tests avancés Avancé

Dans la pratique, Nikto est davantage utilisé en complément pour gagner du temps sur les vérifications de base.

Une erreur fréquente à éviter

Utiliser Nikto sur un site sans autorisation est tout bonnement illégal. Même si l’outil est accessible, son usage doit respecter un cadre clair :

  • Tester uniquement ses propres sites ;
  • Disposer d’une autorisation explicite ;
  • Ou alors travailler sur un environnement de test.

Ce qu’il faut retenir

Nikto n’est pas un outil miracle, mais il répond à un besoin concret : identifier rapidement des failles simples, souvent à l’origine d’incidents bien réels.

Bien utilisé, il permet :

  • De détecter des erreurs faciles à corriger ;
  • D’améliorer rapidement la sécurité d’un site ;
  • De poser les bases d’un audit plus complet.

Dans un contexte où les attaques exploitent majoritairement des vulnérabilités connues, ce type d’outil reste pertinent, à condition de ne pas s’arrêter à ce premier niveau d’analyse.