Betterleaks : un outil open-source pour détecter des secrets dans dossiers, fichiers et dépôts Git

Selon BleepingComputer, un nouvel outil open-source nommé Betterleaks a été présenté, capable d’analyser des répertoires, des fichiers et des dépôts Git afin d’identifier des secrets valides à l’aide de règles par défaut ou personnalisées.

🧰 Fonctionnalités clés:

Type: nouvel outil open-source
Périmètre d’analyse: répertoires, fichiers, dépôts Git
Détection: identification de secrets valides
Règles: par défaut ou personnalisées

Betterleaks : nouvel outil open source de détection de secrets dans les dépôts et fichiers

Contexte

Betterleaks est un nouvel outil open source conçu pour scanner :

des répertoires
des fichiers
des dépôts Git

afin d’identifier des secrets valides (clés API, tokens, identifiants, clés privées, etc.), à l’aide de règles par défaut ou personnalisées.

L’outil est présenté comme le successeur avancé de Gitleaks, et il est développé par Zach Rice, également créateur de Gitleaks, avec le soutien d’Aikido Security.

Objectif

Les secret scanners servent à détecter les informations sensibles accidentellement publiées dans le code source, par exemple :

mots de passe
clés API
tokens d’accès
clés privées
identifiants cloud

Ces données peuvent être exploitées par des attaquants qui scannent automatiquement les dépôts publics ou les fichiers de configuration à la recherche de secrets réutilisables.

Positionnement de Betterleaks

Betterleaks est présenté comme une alternative plus moderne et plus performante à Gitleaks.

Selon son auteur :

Betterleaks est le successeur de Gitleaks.

Le projet est né après que Zach Rice a perdu le contrôle complet sur Gitleaks, qu’il développait depuis plusieurs années.

Fonctionnalités principales

Validation des secrets basée sur des règles

Betterleaks utilise :

CEL (Common Expression Language)

pour définir et valider les règles de détection.

Détection basée sur les tokens

L’outil remplace certaines approches classiques basées sur l’entropie par un mécanisme de :

Token Efficiency Scanning
basé sur la tokenization BPE

Résultat annoncé :

98,6 % de recall
contre 70,4 % avec une détection par entropie sur le dataset CredData

Implémentation pure Go

Betterleaks est développé en :

Go natif
sans dépendance à CGO
sans dépendance à Hyperscan

Cela facilite :

le déploiement
la portabilité
l’exécution dans des environnements automatisés

Gestion des secrets encodés

L’outil gère automatiquement :

secrets encodés une fois
doubles encodages
triples encodages

Analyse Git parallèle

Betterleaks prend en charge :

le scan parallèle des dépôts Git

pour améliorer les performances.

Règles élargies

Le projet inclut un ensemble de règles étendu couvrant davantage de fournisseurs et de types de secrets.

Fonctionnalités prévues

Les évolutions annoncées incluent :

support d’autres sources que Git et les fichiers
assistance par LLM pour améliorer la classification
filtres de détection supplémentaires
révocation automatique des secrets via les API des fournisseurs
cartographie des permissions
optimisations de performance

Gouvernance du projet

Licence : MIT
Mainteneurs : 4 personnes
Contributions issues notamment de :
- Royal Bank of Canada
- Red Hat
- Amazon

Philosophie de conception

L’auteur explique que Betterleaks a été pensé pour :

une utilisation humaine
mais aussi pour les workflows pilotés par des agents IA

L’outil intègre ainsi des fonctionnalités CLI adaptées aux environnements automatisés, notamment pour analyser du code généré par IA.

Intérêt sécurité

Betterleaks s’inscrit dans une logique de sécurisation du cycle de développement, avec plusieurs cas d’usage :

revue des dépôts Git
détection de secrets avant publication
intégration dans les pipelines CI/CD
contrôle du code généré par IA
prévention des fuites exploitables par des attaquants

Conclusion

Betterleaks se positionne comme une nouvelle génération d’outil de secrets scanning, plus performante, plus flexible et mieux adaptée aux environnements de développement modernes que son prédécesseur Gitleaks.

Son intérêt principal réside dans :

l’amélioration de la détection
la validation plus précise des secrets
la prise en charge des workflows modernes, y compris l’IA générative et l’automatisation DevSecOps.

TTPs / IoCs

TTPs

Aucun TTP malveillant : il s’agit d’un outil défensif destiné à détecter des secrets exposés.

IoCs

Aucun IoC : l’article décrit un outil de sécurité et non une campagne malveillante.

Type d’article: nouveaux outils. But principal: annoncer Betterleaks et présenter ses capacités de détection de secrets.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/betterleaks-a-new-open-source-secrets-scanner-to-replace-gitleaks/

Betterleaks : nouvel outil open source de détection de secrets dans les dépôts et fichiers#

Contexte#

Objectif#

Positionnement de Betterleaks#

Fonctionnalités principales#

Validation des secrets basée sur des règles#

Détection basée sur les tokens#

Implémentation pure Go#

Gestion des secrets encodés#

Analyse Git parallèle#

Règles élargies#

Fonctionnalités prévues#

Gouvernance du projet#

Philosophie de conception#

Intérêt sécurité#

Conclusion#

TTPs / IoCs#

TTPs#

IoCs#