569 tutoriels en ligne

Créa-blog

#100JoursPourCoder
Projet Créa-code

Ressources pour développeur web

Théme de la semaine : Le Frontend

rockyou.txt : Wordlist ou Dictionnaire de mots de passe

Temps de lecture estimé : 7 minutes
Accueil Sécurité rockyou.txt : Wordlist ou Dictionnaire de mots de passe

Vous avez peut-être déjà entendu parler de rockyou.txt sans vraiment savoir ce que c’était, ni pourquoi ce simple fichier texte est devenu aussi célèbre dans le monde de la cybersécurité. Rassurez-vous, vous n’êtes pas seul. Pour beaucoup de débutants, le mot “wordlist” évoque quelque chose de flou, presque mystérieux, réservé aux experts en hoodie devant un terminal noir. Rockyou.txt est simplement un dictionnaire de mots de passe.

  • Comprendre pourquoi certains mots de passe tombent en quelques secondes et comment éviter de reproduire les mêmes erreurs que la majorité des utilisateurs.
  • Acquérir une vision claire et concrète des wordlists pour mieux évaluer la solidité de vos propres mots de passe ou de ceux que vous gérez.
  • Développer une vraie culture de base en cybersécurité, utile aussi bien pour un usage personnel que pour des projets web ou professionnels.

Pourtant, derrière ce nom un peu intimidant se cache un concept très simple, presque banal : une liste de mots de passe que de vraies personnes ont réellement utilisés. Et c’est justement là que tout devient intéressant… et parfois inquiétant.

Dans ce guide, je vais vous expliquer pas à pas ce qu’est le fichier rockyou.txt, à quoi il sert, pourquoi il est encore utilisé aujourd’hui, et comment il s’intègre dans des outils concrets. Nous partirons de zéro.

Qu’est-ce qu’une wordlist de mots de passe ?

Avant de parler de rockyou.txt, il faut comprendre ce qu’est une wordlist. Le principe est très simple : une wordlist est un fichier texte qui contient une liste de mots, ligne par ligne. Dans le contexte de la sécurité informatique, ces mots sont généralement des mots de passe potentiels.

Imaginez un énorme carnet où seraient notés des mots de passe comme “123456”, “password”, “azerty”, “marseille”, ou encore “julien1992”. Pris séparément, ces mots paraissent évidents, presque ridicules. Pourtant, utilisés à grande échelle, ils deviennent redoutablement efficaces.

Pourquoi ? Parce que beaucoup d’humains choisissent leurs mots de passe avec des habitudes prévisibles. Un prénom, une date de naissance, un mot simple, parfois une petite variation avec un chiffre à la fin. Une wordlist exploite exactement ce comportement humain.

C’est là qu’intervient rockyou.txt.

L’origine du fichier rockyou.txt

Le fichier rockyou.txt provient d’une fuite de données survenue en 2009, liée au site RockYou, une entreprise qui développait des applications pour les réseaux sociaux. Suite à une faille de sécurité, plus de 30 millions de mots de passe ont été exposés… et surtout stockés en clair, sans aucun chiffrement.

Autrement dit, les mots de passe étaient lisibles tels quels. Une catastrophe du point de vue de la sécurité, mais une mine d’or pour comprendre comment les utilisateurs créent réellement leurs mots de passe.

Ces mots de passe ont ensuite été regroupés dans un fichier texte : rockyou.txt. Depuis, ce fichier est devenu une référence dans le domaine de l’audit de sécurité et des tests de résistance des mots de passe.

Lorsqu’on ouvre rockyou.txt pour la première fois, beaucoup de débutants sourient. On y retrouve des mots de passe qu’ils ont eux-mêmes déjà utilisés un jour. Et là, souvent, le sourire disparaît.

À quoi sert rockyou.txt aujourd’hui ?

Il est important de clarifier un point essentiel : rockyou.txt n’est pas destiné à pirater “au hasard”. Il est principalement utilisé dans un cadre pédagogique, de test ou d’audit de sécurité.

Les professionnels de la cybersécurité s’en servent pour vérifier si un système résiste à des mots de passe faibles. En clair, on simule ce que ferait un attaquant peu sophistiqué mais réaliste : tester des mots de passe courants avant tout.

Si un compte tombe avec un mot de passe présent dans rockyou.txt, cela signifie que le mot de passe était beaucoup trop faible. Et donc que le système ou l’utilisateur doit être corrigé.

Dans un contexte d’apprentissage, rockyou.txt permet aussi de comprendre concrètement pourquoi “motdepasse123” est une très mauvaise idée.

Où peut-on télécharger le fichier rockyou.txt ?

Aujourd’hui, rockyou.txt est très facilement accessible. Il est notamment fourni par défaut dans certaines distributions de sécurité comme Kali Linux.

Sur un système Kali Linux, le fichier se trouve généralement dans le dossier /usr/share/wordlists/. Il est souvent compressé sous forme de fichier .gz pour gagner de la place, car il contient plusieurs millions de lignes.

Même sans Kali Linux, on peut trouver des versions de rockyou.txt sur des dépôts publics dédiés à la sécurité, comme des collections de wordlists utilisées pour l’apprentissage ou les tests.

Il faut cependant rester vigilant : on télécharge toujours ce type de fichier depuis une source reconnue, et uniquement pour un usage légal et pédagogique.

Et pour finir cette partie, voyons où vous pouvez télécharger légalement des wordlists comme rockyou.txt ou d’autres dictionnaires de mots de passe. Ces fichiers, lorsqu’ils sont utilisés dans un cadre pédagogique ou de sécurité autorisé, sont accessibles librement sur Internet à partir de sources reconnues.

Vous pouvez télécharger rockyou.txt depuis plusieurs dépôts publics sur GitHub. Par exemple, il existe un dépôt nommé rockyou.txt wordlist qui héberge ce fichier en format compressé ou brut, prêt à être utilisé avec vos outils de tests de mots de passe. Vous pouvez consulter ce dépôt ici : Télécharger rockyou.txt sur GitHub

Une autre ressource très complète est la collection SecLists, maintenue par la communauté et regroupant de nombreuses listes pour la sécurité, dont plusieurs wordlists de mots de passe utilisables dans différents contextes (longueurs, thèmes, variantes, etc.). Ce dépôt est très utile si vous souhaitez aller au-delà de rockyou.txt ou explorer des listes adaptées à différents usages : SecLists — collection complète de wordlists sur GitHub

Enfin, si vous cherchez des listes plus adaptées au français, sachez qu’il existe aussi des projets qui se concentrent sur les mots de passe les plus courants dans l’espace francophone. Un exemple est le projet Richelieu, qui propose des listes de mots de passe typiquement français, comme french_passwords_top1000.txt ou french_passwords_top20000.txt, que vous pouvez télécharger depuis ce dépôt :
Dictionnaires de mots de passe français (Richelieu)

Ces ressources sont des bases importantes pour apprendre, tester et comprendre comment fonctionnent les wordlists dans le domaine de la cybersécurité, tout en restant dans un cadre légal et pédagogique.

Pourquoi rockyou.txt est-il encore pertinent ?

Vous pourriez vous dire : “Mais ce fichier date de 2009, il doit être dépassé.” En réalité, pas tant que ça.

Les technologies évoluent vite, mais les habitudes humaines beaucoup moins. Les mots de passe faibles d’hier ressemblent énormément à ceux d’aujourd’hui. Prénoms, villes, suites de chiffres, claviers… tout cela reste tristement d’actualité.

C’est précisément pour cette raison que rockyou.txt est encore utilisé comme base dans de nombreux outils. Il agit comme un miroir de nos mauvaises pratiques numériques.

Et c’est aussi pour cela que comprendre rockyou.txt, c’est déjà faire un grand pas vers de meilleurs mots de passe.

Avec quels outils utilise-t-on rockyou.txt ?

Maintenant que vous comprenez ce qu’est une wordlist et d’où vient le fichier rockyou.txt, il est temps de répondre à une question très concrète : avec quels outils le fichier rockyou.txt est-il utilisé ?

Dans la pratique, rockyou.txt sert principalement de “carburant” à des logiciels spécialisés dans les tests de mots de passe. Ces outils prennent une wordlist, puis testent chaque mot de passe, un par un, contre un compte, un fichier chiffré ou un hash. On appelle cela une attaque par dictionnaire. Le mot “attaque” peut faire peur, mais dans un cadre légal et pédagogique, il s’agit surtout d’un test de robustesse.

Parmi les outils les plus connus, deux noms reviennent très souvent. Le premier est John the Ripper, souvent abrégé en “John”. Le second est Hashcat. Les deux poursuivent le même objectif, mais avec des approches légèrement différentes.

Formation web et informatique - Alban Guillier - Formateur

Des formations informatique pour tous !

Débutant ou curieux ? Apprenez le développement web, le référencement, le webmarketing, la bureautique, à maîtriser vos appareils Apple et bien plus encore…

Formateur indépendant, professionnel du web depuis 2006, je vous accompagne pas à pas et en cours particulier, que vous soyez débutant ou que vous souhaitiez progresser. En visio, à votre rythme, et toujours avec pédagogie.

Découvrez mes formations Qui suis-je ?

John the Ripper est souvent recommandé aux débutants, car son fonctionnement est assez simple à comprendre. Hashcat, lui, est extrêmement puissant et rapide, mais demande un peu plus de rigueur et de compréhension technique, notamment lorsqu’on commence à jouer avec les cartes graphiques.

Pour aller plus loin : Tester / Craquer un mot de passe

Comprendre le principe d’une attaque par dictionnaire

Avant de voir un exemple concret, prenons un instant pour comprendre ce qui se passe réellement “sous le capot”.

Supposons qu’un mot de passe soit stocké sous forme chiffrée, ce qu’on appelle un hash. Ce hash est une suite de caractères illisible, générée à partir du mot de passe original. L’idée n’est pas de retrouver le mot de passe directement, mais de comparer.

L’outil prend un mot de passe dans rockyou.txt, par exemple “bonjour123”. Il applique le même algorithme de chiffrement que celui utilisé par le système. Si le résultat correspond au hash stocké, alors le mot de passe est trouvé.

L’outil ne “devine” pas au hasard. Il teste méthodiquement chaque ligne du fichier. C’est pour cela que la qualité de la wordlist est cruciale. Une bonne wordlist contient des mots de passe réalistes, utilisés par de vraies personnes.

Une fois que l’on comprend ce mécanisme, on réalise pourquoi les mots de passe simples sont si dangereux.

Exemple concret avec John the Ripper

Prenons un exemple simple, volontairement vulgarisé.

Imaginez que vous ayez un fichier contenant des mots de passe chiffrés, par exemple à des fins de test sur votre propre machine. Vous lancez John the Ripper en lui indiquant deux choses : le fichier à analyser et la wordlist rockyou.txt.

John va alors lire rockyou.txt ligne par ligne. Il commence par “123456”, puis “password”, puis “azerty”, et ainsi de suite. Dès qu’un mot correspond, il s’arrête pour ce compte précis.

Ce qui surprend souvent les débutants, c’est la vitesse. Sur un mot de passe faible, la réponse peut arriver en quelques secondes. Et c’est souvent là que l’on a un petit moment de gêne, surtout quand on reconnaît un ancien mot de passe personnel.

Lors d’un atelier de formation, un participant était persuadé que son mot de passe était “original”. Moins de dix secondes après le lancement de rockyou.txt, il apparaissait en clair à l’écran. Le silence qui a suivi valait toutes les explications théoriques du monde.

Les limites de rockyou.txt

Il est important d’être honnête : rockyou.txt n’est pas magique. Il ne permet pas de casser tous les mots de passe.

Si un mot de passe est long, complexe, unique, et mélange lettres, chiffres et caractères spéciaux de manière non prévisible, rockyou.txt sera inefficace. Et c’est une excellente nouvelle.

Rockyou.txt fonctionne surtout parce que beaucoup de mots de passe sont faibles. Il exploite nos automatismes humains, pas une faille technique.

C’est aussi pour cela que les systèmes modernes combinent souvent plusieurs protections, comme le blocage après plusieurs tentatives ou l’ajout de délais entre chaque essai.

Existe-t-il des équivalents français de rockyou.txt ?

Rockyou.txt est majoritairement composé de mots de passe anglophones. On y trouve certes quelques mots français, mais ce n’est pas son point fort. Heureusement, il existe des wordlists adaptées au français.

Certaines listes incluent des prénoms français, des villes, des mots courants, des expressions typiques ou des variantes comme “soleil”, “fromage”, “marseille13” ou “paris2020”. Ces fichiers sont souvent construits à partir de bases publiques ou de fuites analysées et nettoyées.

On peut également créer une wordlist hybride, en combinant rockyou.txt avec des dictionnaires français. Cela permet de couvrir un spectre beaucoup plus large de mots de passe potentiels.

Comment créer votre propre “rockyou.txt”

Créer sa propre wordlist est un excellent exercice pédagogique. Cela permet de comprendre comment pensent les utilisateurs… et parfois soi-même.

La méthode la plus simple consiste à partir d’un dictionnaire de mots courants, puis à y ajouter des variantes. Par exemple, un mot comme “bonjour” peut devenir “bonjour1”, “Bonjour!”, “bonjour2024” ou “b0nj0ur”.

Il existe aussi des outils capables de générer automatiquement ces variations. Ils prennent une base de mots et appliquent des règles simples, comme remplacer les lettres par des chiffres ou ajouter des suffixes.

Créer sa propre wordlist permet de cibler un contexte précis, comme une langue, une région ou un type d’utilisateur. C’est exactement ce que font les professionnels lors d’audits sérieux.

Rockyou.txt et apprentissage de la sécurité

Si vous débutez en cybersécurité, rockyou.txt est un formidable support pédagogique. Il permet de passer de la théorie à la pratique, sans abstractions inutiles.

On comprend très vite pourquoi les recommandations de sécurité insistent autant sur la longueur et l’unicité des mots de passe. On ne vous demande pas de faire confiance à une règle arbitraire : on vous montre le résultat concret quand on ne la respecte pas.

C’est aussi un bon point de départ pour découvrir des notions plus avancées, comme les attaques par règles, les masques, ou la génération intelligente de mots de passe.

Le fichier rockyou.txt n’est pas qu’un simple fichier texte perdu dans un dossier système. C’est un témoin de nos habitudes numériques, parfois mauvaises, parfois naïves, mais profondément humaines. En le comprenant, vous ne devenez pas un pirate, vous devenez un utilisateur plus conscient.

Apprendre comment fonctionnent les wordlists, comment elles sont utilisées et pourquoi elles sont efficaces, c’est reprendre un peu de contrôle sur sa sécurité numérique. Ce savoir vous permet de faire de meilleurs choix, autant pour vous que pour les systèmes que vous concevez ou administrez.

Au final, rockyou.txt n’est pas là pour faire peur, mais pour éduquer. Et si cet article vous a donné envie de revoir vos mots de passe ou d’approfondir la cybersécurité, alors il a rempli sa mission. La sécurité commence souvent par une simple prise de conscience… et parfois par un fichier texte de quelques millions de lignes.

Articles relatifs

  1. Hydra / Pentest : Test et hack d’un mot de passe
    Hydra et la sécurité des mots de passe est au cœur de notre vie numérique. Chaque jour, nous utilisons des dizaines de comptes en ligne : messageries, réseaux sociaux, espaces…
  2. Challenge : retrouvez un mot de passe à partir d’un hash
    Apprenez à comprendre, générer et retrouver un mot de passe à partir d’un hash. Un guide complet et accessible pour découvrir le hachage, le cracking éthique et les bonnes pratiques…
  3. Node.js et le module fs : Lire et écrire des fichiers
    Découvrez comment lire, écrire et gérer vos fichiers en toute simplicité avec Node.js. Un guide clair, débutant-friendly et concret pour créer vos propres outils et automatiser efficacement votre travail….
  4. Tutoriel nmap : Scan des ports, audit, test et intrusion
    Ce guide synthétise, étape par étape, une initiation à l’utilisation de nmap. Vous y apprendrez à utiliser ces différentes commandes, comprendre à quoi sert le scan de ports, tester les…