Dictionnaire français pour hashcat

Dans la droite ligne du billet précédent, et toujours à la demande d’un collègue ayant perdu le mot de passe d’un fichier pro Excel, j’avais besoin d’un fichier de mots français susceptibles d’être utilisés comme mot de passe.

Il y a toute une littérature sur “comment choisir un bon mot de passe”, et une partie non négligeable de mon travail actuel consiste à expliquer aux gens les consignes de base de la sécurité informatique. Je dois reconnaître que c’est passionnant, mais que la base de la base de la base n’est pas toujours comprise malgré des trésors de pédagogie.

Si les politiques de choix d’un mot de passe se sont durcies au fil du temps, et qu’il est difficile aujourd’hui de créer un compte informatique sans devoir prendre un mot de passe d’au moins 12 signes dont des minuscules, des majuscules, des chiffres et/ou des caractères spéciaux, que se passe-t-il quand l’utilisateur PEUT choisir le mot de passe qu’il veut, par exemple pour limiter l’accès à un fichier Excel ? La réponse est simple : mon expérience de la casse de mot de passe pour les besoins de la justice m’a montré que la plupart des personnes choisissent un mot courant, éventuellement suivi par un nombre, parfois complété par un point d’exclamation.

Quand aucune politique de sécurité n’est imposée, le choix préféré des français est donc : mot courant [ + année] [ + ! ]

Avant de procéder à une attaque par force brute, ie en essayant toutes les combinaisons possibles, et après avoir testé les mots de passe “évidents” (date de naissance, nom de l’utilisateur, prénom de son partenaire et de ses enfants, date de mariage, etc.), une bonne méthode est donc l’attaque par dictionnaire, ou plutôt en bon français, “l’attaque par liste de mots”.

Il existe sur internet une grande quantité de listes de mots, toutes aussi intéressantes les unes que les autres, mais je n’ai pas trouvé une liste de mots courants français, incluant les noms des régions, départements, villes, villages, hameaux et lieux dits, incluant aussi les mots d’argots, le vieux français, les différents patois, le langage “jeune”, les prénoms français, les petits noms donnés aux animaux, etc. Le tout intégrant les magnifiques caractères spécifiques du clavier français (le plus courant) é è ç à ù €, mais aussi tous les autres â ê ŷ û î ô ä ë ÿ ü ï ö Ä Ë Ÿ Ü Ï Ö etc.

Je me suis alors souvenu qu’il était possible de récupérer tout le contenu de Wikipédia pour pouvoir en disposer hors ligne. J’ai donc récupéré TOUT le Wikipédia francophone sur mon ordinateur, et je l’ai trié pour ne garder qu’un mot par ligne, puis j’ai éliminé les doublons. En comptant les essais/erreurs et les différents tâtonnements, il m’a fallu une journée pour disposer d’une magnifique liste de mots courant utilisés par les Français…

Puis j’ai utilisé la commande hashcat suivante :

hashcat -m 9500 -a 0 -w 3 --username --status --session=toto hashExcel.txt wikipedia.fr.txt

Environ 20mn plus tard, l’ordinateur me fournissait le mot de passe utilisé : un village des Alpes dont le nom fait 10 caractères.

Si vous aussi vous voulez briller auprès de vos collègues, vous pouvez utiliser cette méthode, à condition d’en donner le crédit “au blogueur dont le nom est presque celui d’une bière de l’Égypte antique” en vous rendant sur mon Github : https://github.com/Zythom/french-wikipedia-word-list. Cette saine lecture vous fera réviser vos codes ASCII et la base octale ^^.

Si par contre vous voulez compliquer la tâche des casseurs de mot de passe, ajoutez un “µ” ou un “>” dans votre mot de passe, ou mieux : générez le aléatoirement avec votre KeePass et installez l’extension “Kee Password Manager” dans votre navigateur.

Mais chacun fait ce qu’il veut.

6 réflexions sur « Dictionnaire français pour hashcat »

  1. Bonjour,
    Là où je travaillais avant, ils utilisaient souvent des termes liées au domaine d’activités. ça serait bien de pouvoir faire la même chose avec le site web de l’entreprise.

    En tout cas, merci.

    • Bonjour,
      Il y a de grandes chances que ces termes soient présents dans le wikipédia français, non ? Sinon, il suffit de télécharger le site web de l’entreprise (par exemple avec wget ou HTTrack) et d’utiliser la formule de “mise en mots” que je présente.

    • Pas forcement, tu prends un terme corpo et tu l’utilises en préfixes ou en suffixe.
      J’ai toujours eu la flemme ( ou l’absence d’utilité) de faire un script qui scrap le site intranet ou internet de l’entreprise.
      On a un fichier excel avec un mot de passe perdu, je vais essayer le fichier wikipedia et je verrai ensuite.

  2. Vous écrivez : “[pour] compliquer la tâche des casseurs de mot de passe, ajoutez un “µ” ou un “>” dans votre mot de passe, ou mieux : générez le aléatoirement avec votre KeePass et installez l’extension “Kee Password Manager” dans votre navigateur.”

    “ou mieux”: avec KeePass ou équivalent, il y a toujours un mot de passe maître à gérer, donc votre conseil “ajouter µ ou >” reste valable. Je ne vous apprends rien : ces caractères “exotiques” ont l’inconvénient de ne pas être simple à trouver (surtout) sur les claviers virtuels (celui très répandu de mon smartphone m’oblige à taper trois touches pour saisir “<", par exemple)… Ce qui explique sûrement pourquoi "!" est un des caractères spéciaux les plus répandus dans les mots de passe (oups, dans le mien aussi, mais je n'ai pas "mot courant + année" avant, loin de là 😉 )

    J'aimerais bien comprendre toutefois pourquoi ces deux-là spécifiquement compliquent la tâche des casseurs…

    (Et merci pour votre blog, même si vous n'êtes plus expert judiciaire. 😉 )

  3. Bonjour Zythom

    “le fichier toto fait environ 21Go. Le fichier a été nommé ainsi pour honorer la mémoire des enseignants qui m’ont formé.”
    Vous êtes toujours aussi pince-sans-rire, j’adore. Mais la vérité est bien là : la fameuse variable toto, celle qu’on utilise “le temps d’un test” ou d’une démonstration et que l’on retrouve dans le code source final.
    Très bonne année.

  4. je conseille régulièrement à mes connaissances qui ont des soucis de mot de passe d’utiliser des techniques simples pour générer des mots de passes faciles à retenir pour eux mais pour personne d’autre
    chiffre d’arrivée + premières lettres des enfants + tiret entre chaque et éventuelment date de naissance
    lucas 1995 + charles 1995 + claire 1997 donne 1Lu95-2ch95-3cl97
    ce n’est pas incassable mais on est déjà à 17 caractères
    Ou une phrase comme
    j’aimelescookies ce qui va donner J@1m3L3sC00k13s … 15 caractères
    Toujours pas incassable, mais ça complique déjà pas mal les choses tout en étant sur de s’en rappeler

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.