La meilleure preuve que vous puissiez obtenir est d'inspecter la heure du dernier accès des fichiers en question, ou peut-être l'heure du dernier accès du répertoire de niveau supérieur sur le système de fichiers.

Mais d'abord, un peu de contexte. Un lecteur flash USB serait traité par l'ordinateur comme un disque. Le lecteur (ou, plus précisément, la partition principale dans le lecteur) serait formaté comme un système de fichiers. La plupart des supports flash sont formatés avec un système de fichiers VFAT, qui est une solution au plus petit dénominateur commun qui fonctionne avec presque tous les appareils, y compris OS X, Windows, Linux et les appareils photo numériques. Les alternatives suivantes les plus probables à VFAT seraient HFS + (le système de fichiers natif d'OS X, que Windows ne prend pas du tout en charge) ou NTFS (le système de fichiers natif de Windows, pris en charge par toutes les versions de Windows publiées ce siècle, mais qui a juste un support en lecture seule dans OS X, et est rarement pris en charge sur les appareils photo numériques).

Cet arrière-plan est pertinent car différents systèmes de fichiers stockent le dernier temps d'accès différemment. Je vais travailler avec l'hypothèse que votre clé USB est formatée avec VFAT. Ceci est important car les systèmes de fichiers VFAT ne stockent que la date du dernier accès, pas l'heure de la journée. Ce serait la meilleure preuve que vous pourriez espérer recueillir, en supposant que tout le reste se passe bien.

Pour voir les dates de dernier accès dans le Finder,

1. Passer à la vue Liste (Afficher → sous forme de liste (⌘2))
2. Afficher la boîte de dialogue Options d'affichage (Afficher → Afficher les options d'affichage (⌘J))
3. Sélectionnez "Date du dernier Ouvert "

Sinon, au lieu d'utiliser le Finder, vous pouvez utiliser le Terminal pour exécuter

  stat -x / Volumes / USB-Stick-Name / Chemin / Vers / Fichier  

pour voir le temps d'accès d'un fichier particulier.

Il y a cependant quelques mises en garde importantes!

Premièrement, le fait de brancher le média sur votre Mac entraînera son montage automatique, modifiant ainsi l'heure du dernier accès au répertoire de niveau supérieur (et peut-être détruisant encore plus de preuves que cela). Une analyse médico-légale doit nécessiter des précautions telles que le montage du support en mode lecture seule. Par conséquent, vous devrez supprimer le comportement de montage automatique d'OS X, ce qui n'est pas si simple.

Deuxièmement, votre collègue / espion présumé aurait pu prendre une contre-mesure similaire monter le support en lecture seule, ne laissant ainsi aucun horodatage comme preuve. (Il n'y a pas non plus de garantie que l'ordinateur utilisé par l'espion avait son horloge réglée avec précision, ce qui jetterait le doute sur la validité de tout horodatage.)

La morale de l'histoire est, si vous avez des informations sensibles informations à stocker sur un support amovible, cryptez-les! La solution la plus simple serait d'utiliser FileVault 2. Notez cependant qu'un tel cryptage rendrait la clé USB illisible sur n'importe quelle machine autre qu'un Mac.

Montez votre périphérique USB en lecture seule

Pour cela, le moyen le plus simple consiste à installer Disk Arbitrator et à le configurer de manière à ne monter aucun périphérique en lecture seule.

L'icône de la barre de menu Disk-Arbitrator devrait passer au rouge.

Branchez votre périphérique USB. Il n'y a plus de risque que vous modifiiez par inadvertance une heure d'accès dessus.

Rechercher des heures d'accès

Disons que votre périphérique USB est monté en tant que suspicious_USB .

Ouvrez une fenêtre Terminal ou xterm . Disons que vous êtes sûr de ne pas avoir installé votre périphérique USB sur un ordinateur depuis 20 jours. Dans votre fenêtre de ligne de commande, exécutez les commandes suivantes:

  cd / Volumes / suspicious_USB / usr / bin / sudo find. -atime -21 -exec ls -dluT {} \;  

Cette commande vous affichera tout fichier (même caché) que n'importe quel système d'exploitation aurait pu ouvrir en moins de 21 jours. La sortie de cette commande vous affichera l'heure détaillée du dernier accès de tout fichier ou dossier lu ou simplement touché. Par exemple, cette commande vous montrera qu'un dossier a simplement été ouvert. Cette commande vous montrera que Spotlight a fonctionné sur votre clé USB.

Si vous trouvez quelque chose, vous saurez quand votre clé USB a été lue.

Limitation de la garantie

Si notre collègue ou attaquant soupçonné est aussi habile que de lire ce document et de comprendre comment l'utiliser, il se peut qu'il ait monté votre périphérique USB en lecture seule aussi, il l'aurait donc laissé exempt de toute modification de l'heure d'accès.

Dans ce cas, je n'ai absolument aucune méthode pour montrer que certains fichiers ont été lus sur votre périphérique USB :(.

• Ouvrez votre console
• Sélectionnez system.log
• Saisissez la requête suivante dans le volet de recherche (coin supérieur droit): USBMSC[
• Vous verrez quelque chose comme noyau: USBMSC Identifier (puis une chaîne alphanumérique indiquant l'adresse du bus USB)
• La date et l'heure sont également affichées. Cela vous permettra de savoir la ou les dernières fois qu'un appareil a été connecté à un bus USB particulier.

Pour "tout périphérique USB", ce n'est certainement pas possible, car la norme est pour la communication.
Pour les clés USB, vous pouvez essayer de vérifier les dates d'accès des fichiers individuels (ne comptez pas dessus, souvent pas utilisé de toute façon, et votre propre chèque peut écraser les dates si vous ne faites pas attention), ou la présence de fichiers que vous connaissez ni que votre ordinateur aurait pu y mettre (comme thumbs.db ou RECYCLED pour Windows, .DS_Store ou .Trashes pour mac).

Il est inutile d'avoir cette fonctionnalité, dans un produit grand public typique. Même s'il était stocké dans le micrologiciel de l'appareil, il dépendrait toujours de l'horloge de l'ordinateur hôte.

Utilisez Belarc Advisor ... exécutez-le avec les privilèges d'administrateur ... lorsque le rapport est terminé, recherchez le stockage USB utilisé au cours des 30 derniers jours ... vous pouvez voir le type de clé USB et la dernière utilisation ...