Quelqu'un a-t-il copié des fichiers de mon Mac?

J'étais brièvement absent de mon MacBook Air (Yosemite) et je soupçonnais que quelqu'un avait copié des fichiers à partir de mon Mac. Voici ce que je peux voir dans le fichier system.log sous console / var / log. Certains experts pourraient-ils indiquer si ce journal "(non unique): 000000000820" peut indiquer que quelqu'un a branché une clé USB? Que dois-je rechercher pour savoir quel répertoire de fichiers a éventuellement été volé?

_____________________COMMENCER______________________

Mar 31 21:18:41 This mac kernel[0]: USBMSC Identifier (non-unique): 000000000820 0x5ac 0x8406 0x820, 3
Mar 31 21:18:41 This mac kernel[0]: en0: channel changed to 1
Mar 31 21:18:41 This mac.local FinderSyncAPIExtension[1051]: Pipe path is a symbolic link, connecting to target.
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe ProductID - 0x828F FirmwareVersion - 0x0103
Mar 31 21:18:41 This mac kernel[0]: **** [IOBluetoothHostControllerUSBTransport][start] -- completed -- result = TRUE -- 0xb000 ****
Mar 31 21:18:41 This mac kernel[0]: **** [BroadcomBluetoothHostControllerUSBTransport][start] -- Completed (matched on Device) -- 0xb000 ****
Mar 31 21:27:27 This mac kernel[0]: USB (XHCI Root Hub USB 2.0 Simulation):Port 12 on bus 0xa connected or disconnected: portSC(0xe4202a0)
Mar 31 21:27:27 This mac kernel[0]: The USB device Card Reader (Port 3 of Hub at 0x15000000) may have caused a wake by being disconnected

Voici la commande permettant de générer une liste de tous les fichiers consultés au cours des 72 dernières heures:

sudo find / -atime -72h -ls > output.txt

À partir de là, vous pouvez exécuter "stat" sur chaque fichier pour obtenir le temps d'accès.

cat output.txt | while read in; do stat; done > accessTimes.txt

Vous pouvez limiter votre recherche à une plage de dates / heures spécifique via un éditeur de texte ou une commande grep.

grep "Mar 31 21:" accessTimes.txt

Cela peut ne pas être suffisant pour prouver un acte répréhensible, mais cela peut être démenti s'il n'y avait aucun fichier accédé pendant la période de préoccupation. En outre, donne une idée de ce qui a été éventuellement accédé.

À partir de ce journal, tout ce que vous pouvez dire est qu'un périphérique USB a été connecté ou déconnecté. Il pourrait s'agir d'un lecteur USB, mais là encore, ce lecteur pourrait être en veille. Quelqu'un aurait pu brancher un iPhone pour le charger. Le fait est qu'il est impossible de savoir.

Même si un lecteur USB était branché, il est impossible de savoir si des fichiers ont été copiés à partir de votre ordinateur. Pour voir si les fichiers ont été copiés de (ou vers) votre ordinateur, vous avez besoin d'un journal d'audit . Apple en propose un, mais il est désactivé par défaut.

Voir ce post sur OpenBSM .