Hackfest Communication Blog

Nouvelles et opinions de la communauté de sécurité informatique

Présentation d'un projet de génération de liste de nom d'utilisateurs québécois

01 June 2021

passwords

  • Par: @redshell

Quoi

J’ai toujours trouvé lors de différents tests d’intrusions qu’il manquait l’équivalent d’une liste d’utilisateurs possibles en français. Suivant le dernier blog post du Hackfest publiant une wordlist adaptée au Québec, j’ai décidé de publier mon propre script qui permet de générer des noms d’utilisateurs communs adaptés pour le Québec.

Également, beaucoup de mots de passe sont encore basés sur les noms et prénoms (des enfants, parents, femme, etc). Ce sont généralement des noms français qui ne font pas (ou peu) partie des wordlists standards. En utilisant des sites qui publient l’information sur les noms les plus populaires tels que prenomsquebec.ca et un article Wikipedia, il est possible de créer plusieurs combinaisons.

Je présente donc le dépôt Github QC_Username_Generator.

Fonctions

  • Générer des noms d’utilisateurs populaires, provenant de noms Québecois
  • Pouvoir adapter le format des noms en fonction du test ou de l’application
  • Avoir la possibilité d’ajouter un nom de domaine dans le cas ou le nom d’utilisateur nécessite un courriel
  • Générer des mots de passe qui sont souvent utilisés (combinaisons de noms et années)

Ce script permet de générer plusieurs variations de nom d’utilisateurs basé sur les noms de famille (top 1000) et les prénoms les plus populaires du Québec depuis 1980.

Il permet également d’ajouter une variation avec un nom de domaine pour générer des courriels potentiels (ex: [email protected]). Les noms d’utilisateurs peuvent ensuite facilement être utilisés dans le cadre de pulvérisation de mot de passe ou d’énumération simplement. De plus, il est possible de générer des mots de passe qui incluent le nom et l’année (ex: Tremblay2020!, jean2021, ..). Désolé si c’est votre mot de passe!

Ils peuvent ensuite être utilisés à eux seuls pour du password cracking, en combinaison avec d’autres listes telles que w0lfd3n, ou en ajout à des règles Hashcat.

Les cas d’utilisations

  • Dans le cadre de pulvérisation de mot de passe
  • Afin d’effectuer une énumération d’utilisateurs
  • Pour générer une wordlist de mots de passe possibles lors de password cracking

Exemples d’utilisation

  • Le script est basé sur Python3 et ne nécessite aucun module externe.
  • Les listes de noms sont stockées dans le dossier source.

Les différents arguments possibles:

[-u] permet de générer une liste d'utilisateurs [-w] permet de générer une liste de mot de passe [-d] spécifie que vous voulez une liste contenant un domaine/courriel (ex: [email protected]) [-o] pour spécifier le nom du fichier en sortie (exemple.txt), sinon ce sera affiché en STDOUT

Pour générer une liste contenant des courriels vers un fichier texte:

python3 main.py -u -d -o fichier

Pour générer une liste d’utilisateurs vers un fichier texte:

python3 main.py -u -o fichier

Pour générer une liste de mot de passe potentiel vers un fichier texte:

python3 main.py -w -o fichier

Mot de la fin

Comme toujours, il est conseillé d’utiliser un gestionnaire de mots de passe tels que BitWarden ou KeePassXC afin de générer des mots de passe complexes et les stocker de façon sécuritaire.

Vous pouvez me contacter sur le Discord du Hackfest: @redshell

Crédit photo: christiaancolen - licence CC BY