Hackfest Communication Blog

Nouvelles et opinions de la communauté de sécurité informatique

Présentation d'un projet de wordlist de mots de passes québécois

01 June 2021

passwords

Récemment, je testais mes habiletés modestes de “pentest” sur mon réseau WI-FI personnel. Suivant la méthodologie classique, j’ai performé une attaque de désauthentification sur un périphérique relié à mon “access point”, capturé l’échange de clef WPA2, et tenté de “craquer” le mot de passe à l’aide d’une “wordlist”. Pour les besoins de la cause, le mot de passe utilisé était d’une simplicité alarmante. Malgré tout, j’ai été incapable de le découvrir.

C’est alors que la réalité m’a frappé : les “wordlists” habituelles disponibles sur le net ne contiennent pas ou très peu de vocabulaire français et/ou Québécois, la plupart étant issues de brèches américaines et internationales. Au cours de discussions sur certains serveurs Discord (Hackfest), j’ai constaté qu’en effet très peu de références francophones étaient disponibles et qu’il y avait une volonté de créer une telle liste de mots de passe. C’est autour de cette idée que s’est constituée notre groupe, w0lfd3n, une équipe de professionnels et d’enthousiastes pour la plupart québécois. Nous avons saisi l’opportunité de fonder un groupe officiel afin de s’impliquer dans la communauté cybersec. Ce projet a été une sorte de catalyseur au groupe et une motivation supplémentaire afin d’explorer des méthodes et habiletés qui nous étaient pour la plupart encore nouvelles, i.e. GitHub. Nous espérons que le projet contribuera positivement à la communauté cybersec Québécoise.

C’est avec plaisir que nous présentons le dépôt public w0lfd3n’s quebec_wordlist. Cette liste est extraite en grande majorité des mots de passe présents dans plusieurs brèches de données publiques, tous reliés à des domaines québécois (institutions publiques, secteur privé, etc). Elle a plusieurs applications potentielles, i.e. “wordlist” pour John The Ripper et Hashcat ou bien tout simplement liste de mots de passe à éviter. Vous pouvez combiner une bonne discipline de mots de passe avec cette liste afin d’éviter l’utilisation de mots de passe faibles et compromis.

Il est également conseillé d’utiliser un gestionnaire de mots de passe tel que BitWarden ou KeePassXC afin d’éviter de réutiliser le même mot de passe plusieurs fois. Nous planifions d’apporter des modifications et ajouts constants à cette liste, et nous sommes évidemment ouverts à toutes contributions externes qui respectent nos critères.

Vous pouvez nous contacter à [email protected] .

Crédit photo: worldsdirection - licence CC BY