📅 Article technique publié le 25 mai 2026 par Guillaume Ross sur recyclebin.zip, présentant une solution open-source de détection de secrets en clair sur les postes de travail des développeurs.

🎯 Contexte

L’expansion de la surface d’attaque via les gestionnaires de paquets (PyPI, npm, VS Code Extensions, OpenVSX, brew) expose les postes développeurs à des vols de credentials. La prolifération des agents IA qui consomment les mêmes paquets étend ce risque à l’ensemble des postes de travail, y compris non techniques.

🔧 Architecture proposée : Fleebag

L’auteur présente Fleebag (fleet + bagel), un proof-of-concept combinant :

  • bagel : outil open-source de Boost Security, écrit en Go, qui scanne le répertoire home d’un utilisateur à la recherche de secrets (clés SSH, credentials GitHub, credentials cloud). Sortie en JSON. Comparable à trufflehog mais orienté postes de travail.
  • Fleet : plateforme open-source IT/sécurité utilisant osquery pour la télémétrie, avec capacités MDM, déploiement de paquets, politiques de conformité et API d’intégration.

🔄 Workflow

  1. bagel scanne le poste via LaunchAgent (macOS) selon un planning
  2. Résultats écrits en JSON dans /Users/%/Library/Logs/fleebag/results.json
  3. Fleet lit les résultats via osquery + parse_json
  4. Politique Fleet : échec si findings critiques détectés
  5. En cas d’échec : notification Slack au développeur + blocage SSO via intégration IdP (ex: Entra Conditional Access)

⚠️ Limites identifiées

  • Pas de signature ni notarisation des binaires
  • Aucune suppression automatique des secrets
  • Pas de visibilité sur les paquets installés ou l’exposition préalable des secrets
  • Nécessite intégration manuelle avec l’IdP
  • Proof-of-concept non destiné à la production en l’état

📌 Type d’article

Article technique de type nouveaux outils / recommandation de sécurité, visant à partager une architecture open-source exploitable pour réduire le risque de vol de credentials sur les postes développeurs dans un contexte d’épidémie d’infostealers.

🧠 TTPs et IOCs détectés

TTP

  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)

IOC

  • Chemins : /Users/%/Library/Logs/fleebag/results.json

Malware / Outils

  • bagel (tool)
  • Fleet (tool)
  • osquery (tool)
  • trufflehog (tool)

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ recyclebin.zip — source non référencée (0pts)
  • ✅ 9241 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://recyclebin.zip/posts/2026-05-25-secret-scanning-fleet-bagel/?utm_source=substack&utm_medium=email