Comment détecter quand des fichiers de mon USB ont été copiés sur un autre PC?
J'ai accidentellement donné mon clé USB à mon ami, puis j'ai réalisé qu'il contenait des fichiers importants. Est-il possible de savoir s'il a obtenu quelque chose de l'USB?
Aucun journal n'est enregistré sur l'USB lui-même autour des accès aux fichiers. Au mieux, vous savez peut-être si les fichiers ont été modifiés en consultant les horodatages des fichiers, ce qui peut parfois se produire simplement en les ouvrant, selon le programme qui les ouvre.
Mais il n'y aura aucun moyen de déterminer, en regardant l'USB, si les fichiers ont été copiés.
Il n'y a aucun moyen de s'en assurer par des moyens strictement techniques.
D'une part, si votre ami a un logiciel antivirus installé, il analysera probablement votre clé USB dès qu'il sera branché sur sa machine; et cela serait totalement impossible à distinguer des données lues dans le cadre d'une opération de copie.
D'un autre côté, s'ils souhaitent couvrir leurs traces, il existe de nombreuses façons de réinitialiser les horodatages et d'empêcher leur modification en premier lieu.
Alors ... demandez-leur? Accédez à leur machine et vérifiez les copies de vos fichiers (si elles sont d'accord)? Dites-leur que vos données étaient sensibles et demandez-leur de les supprimer en cas de copie accidentelle? Telles pourraient être les questions pour les SE interpersonnelles et juridiques; en termes de sécurité, vos données sont déjà compromises.
Cela dépend du type de système de fichiers sur le disque. La plupart des systèmes de fichiers conservent un temps d'accès qui peut être affiché avec ls -lu, À condition que "l'ami" monte le système de fichiers en lecture/écriture. (Remarque: apparemment, les systèmes d'exploitation Windows n'ont pas d'équivalent à ls -lu, Donc cela ne sera pas utile si c'est ce que vous avez).
Si "l'ami" a monté le système de fichiers en lecture seule (ou avec noatime ou des options similaires), ou si le disque a un système de fichiers qui ne stocke pas les temps d'accès (notamment FAT et dérivés), ou s'il a couvert ses traces en utilisant utime() après la lecture, vous ne verrez pas cette preuve.
Alternativement, vous pouvez obtenir un "faux positif" si quelque chose sur son système lit le fichier de manière autonome (par exemple pour générer des résumés ou rechercher des logiciels malveillants), mais il n'a pas vu le contenu ou copié les fichiers.
En fin de compte, le peu d'informations enregistrées sur les médias en dit très peu sur la question de savoir si les informations ont été consultées et, dans l'affirmative, comment elles ont été consultées.
Tu pourrais essayer dir /T:A et comparer avec dir /T:C
/T TimeField Specify the time field displayed
and used for sorting. TimeField may be any of the
following letters.
C : Creation time.
A : Last access time.
W : Last write time.
For instance, when you use the option "/T:C," the
time listed is when the file was created.
Par défaut, il n'y aura aucun enregistrement d'une telle activité.
Lorsqu'un fichier est consulté ou modifié, le système d'exploitation ou l'application peut mettre à jour sa propriété "dernière écriture" ou "dernier accès".
Selon Microsoft documentation :
NTFS permet également de désactiver les dernières mises à jour de l'heure d'accès. La dernière heure d'accès n'est pas mise à jour sur les volumes NTFS par défaut.
Votre ami pourrait copier n'importe quel fichier et je ne m'attendrais pas à ce que la date du "dernier accès" change.
De plus, tout audit des tentatives infructueuses/réussies d'accès aux fichiers serait enregistré dans le journal de sécurité de son ordinateur.
Une méthode non concluante
La seule autre méthode consiste à vérifier les SID étrangers sur les listes de contrôle d'accès de fichiers/dossiers. Si vous examinez les autorisations sur un fichier (sous l'onglet Sécurité), des SID non résolus peuvent apparaître.
Les SID non résolus apparaissent sous la forme de longues chaînes, telles que S-1-5-21-3624371015-3360199248-30038020-3220, plutôt que des noms lisibles par l'homme comme SYSTEM, Network Service ou JohnSmith.
Notez que les SID étrangers ne seront ajoutés que s'il a pris possession des fichiers ou modifié les autorisations, donc l'absence de ces SID n'indique pas un manque d'accès.