La meilleure preuve que vous puissiez obtenir est d'inspecter le dernière heure d'accès des fichiers en question, ou peut-être la dernière heure d'accès au répertoire de premier niveau du système de fichiers.

Mais tout d'abord, un peu d'histoire. Une clé USB est traitée par l'ordinateur de la même manière qu'un disque. La clé (ou, plus précisément, la partition principale de la clé) serait formatée comme un système de fichiers. La plupart des supports flash sont formatés d'origine avec un système de fichiers VFAT, qui est la solution la plus courante et qui fonctionne avec presque tous les appareils, y compris OS X, Windows, Linux et les appareils photo numériques. Les alternatives les plus probables à VFAT seraient HFS+ (le système de fichiers natif d'OS X, que Windows ne prend pas du tout en charge) ou NTFS (le système de fichiers natif de Windows, pris en charge par toutes les versions de Windows publiées au cours de ce siècle, mais qui n'est pris en charge qu'en lecture seule dans OS X et qui est rarement pris en charge par les appareils photo numériques).

Ce contexte est important car les différents systèmes de fichiers enregistrent différemment le dernier temps d'accès. Je vais partir du principe que votre clé USB est formatée en VFAT. C'est important car Les systèmes de fichiers VFAT ne conservent que la date du dernier accès. et non l'heure de la journée. Ce serait la meilleure preuve que vous puissiez espérer recueillir, en supposant que tout le reste se passe bien.

Voir les dernières dates d'accès dans le Finder ,

1. Passer à l'affichage sous forme de liste (View as List (2))
2. Afficher la boîte de dialogue Options d'affichage (View Show View Options (J))
3. Sélectionnez "Date de la dernière ouverture"

Au lieu d'utiliser le Finder, vous pouvez également utiliser le Terminal pour exécuter les commandes suivantes

stat -x /Volumes/USB-Stick-Name/Path/To/File

pour connaître le temps d'accès d'un fichier particulier.

Il y a cependant quelques mises en garde importantes à faire !

Tout d'abord, le fait de brancher le support sur votre Mac entraînera son montage automatique, ce qui modifiera l'heure du dernier accès au répertoire de premier niveau (et détruira peut-être encore plus d'éléments de preuve). Une analyse judiciaire devrait nécessiter des précautions telles que le montage du support en mode lecture seule. Par conséquent, vous devez supprimer le comportement de montage automatique d'OS X ce qui n'est pas si facile.

Deuxièmement, votre collègue/espion présumé aurait pu prendre une contre-mesure similaire en montant le support en lecture seule, ne laissant ainsi aucun horodatage comme preuve. (Rien ne garantit non plus que l'ordinateur utilisé par l'espion avait une horloge réglée avec précision, ce qui mettrait en doute la validité de l'horodatage).

La morale de l'histoire est la suivante : si vous avez des informations sensibles à stocker sur des supports amovibles, cryptez-les ! La solution la plus simple consiste à utiliser FileVault 2 . Notez toutefois qu'un tel cryptage rendrait la clé USB illisible sur toute machine autre qu'un Mac.

Monter votre périphérique USB en lecture seule

Pour cela, la méthode la plus simple consiste à installer Arbitre du disque et en le configurant de manière à ce que tout périphérique ne soit monté qu'en lecture seule.

Les Disk-Arbitrator L'icône de la barre de menu doit passer au rouge.

Branchez votre périphérique USB. Il n'y a désormais plus aucun risque que vous modifiiez par inadvertance un temps d'accès sur celui-ci.

Recherche de temps d'accès

Supposons que votre périphérique USB soit monté en tant que suspicious_USB .

Ouvrir un Terminal ou xterm fenêtre. Supposons que vous soyez certain de ne pas avoir monté votre périphérique USB sur un ordinateur depuis 20 jours. sur aucun ordinateur depuis 20 jours. Dans votre fenêtre de ligne de commande, exécutez les commandes suivantes :

cd /Volumes/suspicious_USB
/usr/bin/sudo find . -atime -21 -exec ls -dluT {} \;

Cette commande affiche tous les fichiers (même ceux qui sont cachés) qu'un système d'exploitation a pu ouvrir dans un délai de moins de 21 jours. La sortie de cette commande affichera l'heure détaillée du dernier accès de tout fichier ou dossier lu ou simplement touché. Par exemple, cette commande vous indiquera qu'un dossier a été simplement ouvert. Cette commande vous indiquera que Spotlight a été exécuté sur votre clé USB.

Si vous trouvez quelque chose, vous saurez quand votre clé USB a été lue.

Limitation de la garantie

Si notre collègue ou agresseur présumé est assez doué pour lire ceci document et comprendre comment l'utiliser, il pourrait avoir monté votre périphérique USB en lecture seule. périphérique USB en lecture seule. Il l'a donc laissé vierge de toute modification du temps d'accès.

Dans ce cas, j'ai absolument non pour montrer qu'un fichier a été lu sur votre périphérique USB :(.

• Ouvrez votre Console
• Sélectionner system.log
• Tapez la requête suivante dans le volet de recherche (coin supérieur droit) : USBMSC
• Vous verrez quelque chose comme kernel: USBMSC Identifier (then an alphanumeric string indicating the USB bus address)
• Les la date et l'heure est également affichée. Cela vous permettra de savoir quand un appareil a été connecté pour la dernière fois à un bus USB particulier.

Ce n'est certainement pas possible pour "n'importe quel dispositif USB", car la norme est destinée à la communication.
Pour les clés USB, vous pouvez essayer de vérifier les dates d'accès des fichiers individuels (n'y comptez pas, ils ne sont souvent pas utilisés et votre propre vérification peut écraser les dates si vous ne faites pas attention), ou la présence de fichiers que vous n'avez pas utilisés. savoir ni vous ni votre ordinateur n'avez pu y mettre (comme thumbs.db ou RECYCLED pour Windows, .DS_Store ou .Trashes pour mac).

Il n'y a guère d'intérêt à ce que cette fonction soit présente dans un produit de consommation courante. Même si elle était stockée dans le micrologiciel de l'appareil, elle dépendrait toujours de l'horloge de l'ordinateur hôte.

Utilisez Belarc Advisor... exécutez-le avec les privilèges d'administrateur... lorsque le rapport est terminé, recherchez USB Storage Use in past 30 Days... là vous pouvez voir le type d'USB et la date de la dernière utilisation...