Projet Richelieu

Le projet Richelieu est un nouveau projet diffusé sur la plateforme GitHub et regroupant une liste des 20 000 mots de passe français les plus utilisés. Le projet sur GitHub est maintenu par Maxime Alay-Eddine et Paul Barbaste, deux développeurs d'outils en cybersécurité. Richelieu est distribué sous licence CC BY 4.0, ce qui signifie que le contenu de sa base peut être réutilisé, sous réserve d'en mentionner l'origine et d'en redistribuer toute modification ou adaptation sous la même licence.

L'objectif du projet est de fournir aux responsables en sécurité et "pen-testeurs" français un dictionnaire ouvert avec les mots de passe les plus communs, afin qu'ils soient en mesure d'évaluer leurs vulnérabilités avec un jeu de données représentatifs (par exemple en effectuant des attaques par dictionnaire ou par force brute sur leur propre système d'information).

Cette base a été construite à partir de la diffusion massive d'identifiants de connexion survenues ces dernières années. Elles ont donné lieu à un filtrage pour ne conserver que les mots de passe liés aux adresses e-mail dont le nom de domaine est en ".fr". Les développeurs précisent au demeurant que seuls les 20 000 premiers mots de passe les plus courants ont été conservés, cela afin d'éviter la diffusion de véritables combinaisons identifiantes.

Parmi les 20 000 mots de passe diffusés, on note par ailleurs certaines caractéristiques récurrentes :

• Le mot de passe choisi présente le nombre minimal de caractère requis, à savoir entre 3 et 6 caractères ;
• Le mot de passe choisi comporte des lettres minuscules et/ou est composé de chiffres, sans majuscule ou caractère spécial ;
• Le mot de passe choisi est soit un mot (nom commun ou adjectif), un nom propre (nom, prénom ou marque) ou constitue une phrase simple.

Si le projet rencontre un certain succès, ses auteurs promettent déjà qu'ils mèneront la même opération pour d'autres pays.

La liste des 20 000 mots de passe les plus utilisés est consultable ici.