Comment savoir si quelqu'un utilisait votre Mac

Bien que tout le monde devrait toujours protéger par mot de passe un Mac pour empêcher toute utilisation non autorisée, tout le monde ne le fait pas. Parfois, les gens partagent des connexions générales, que ce soit avec un colocataire, un frère ou une sœur, un conjoint ou n'importe qui d'autre. Maintenant, si vous vous êtes déjà demandé si quelqu'un utilisait votre ordinateur pendant votre absence, il existe en fait une méthode assez facile à trouver dans Mac OS X.

Découvrez si quelqu'un utilisait votre Mac avec la console

Cela fonctionne mieux si vous mettez un Mac en veille, car ce que nous recherchons, ce sont des événements de réveil système. Si vous ne dormez pas sur un Mac depuis l'ordinateur, commencez à le faire maintenant pour suivre ces données de sillage.

  • Utilisez Spotlight (Command + Spacebar) pour rechercher et ouvrir "Console"
  • Cliquez sur la barre de recherche dans le coin supérieur droit de la console et tapez "Wake" pour trier les journaux du système pour les événements de sillage
  • Faites défiler vers le bas de la liste pour trouver les événements les plus récents, cherchez dans les données listées une entrée de réveil qui correspond au moment où vous soupçonnez que quelqu'un a utilisé l'ordinateur

D'abord vous voudrez prendre note du temps puisque cela seul peut vous donner l'information que vous recherchez. En outre, en lisant les raisons de réveil, vous serez en mesure de voir comment le Mac a été réveillé et par quelle méthode. Par exemple, les ordinateurs portables Mac afficheront "EC.LidOpen (User)" ou "LID0" pour indiquer que le Mac a été réveillé en ouvrant le couvercle des écrans. Tous les Mac montreront EHC ou EHC2 pour montrer que le Mac a été réveillé en touchant le clavier ou le trackpad. OHC ou USB indique généralement qu'un périphérique USB externe ou une souris a été utilisé pour réveiller le Mac, et ainsi de suite. Une partie de la syntaxe exacte pour des raisons de sillage variera selon la version d'OS X, mais la plupart des codes sont suffisamment similaires pour tirer des conclusions communes.

Voici quelques exemples d'entrées de ce que vous pouvez voir dans la console:
2/24/12 3:22:26.000 PM kernel: Wake reason: EC.SleepTimer (SleepTimer)
2/24/12 3:40:31.000 PM kernel: Wake reason: EC.LidOpen (User)
2/24/12 5:23:40.000 PM kernel: Wake reason: EC.SleepTimer (SleepTimer)
2/24/12 8:11:03.000 PM kernel: Wake reason: EC.LidOpen (User)
2/24/12 9:05:09.000 PM kernel: Wake reason: EC.LidOpen (User)
2/24/12 9:32:06.000 PM kernel: Wake reason: EC.LidOpen (User)
2/25/12 00:51:44.000 AM kernel: Wake reason: EHC2

Ce que vous cherchez en fin de compte, c'est une date, une heure ou un événement de réveil qui ne correspond pas à votre propre utilisation régulière de Mac. Peut-être que se réveiller à minuit sur le trackpad (EHC2) est suspect, ou peut-être était-il inhabituel que quelqu'un ouvre le couvercle de l'ordinateur portable à 15h40 dans l'après-midi d'hier. En fin de compte, c'est à vous de déterminer ce qui est suspect ou déplacé, mais en regardant les journaux du système, vous pouvez obtenir des données qui sont pratiquement garanties car la plupart des utilisateurs ne penseraient pas à interférer avec ces journaux.

Recherche d'informations de sillage depuis la ligne de commande
Si vous êtes plus enclin à utiliser la ligne de commande, ou si vous voulez vérifier les événements de réveil sur un Mac distant via SSH, essayez d'utiliser grep avec la commande syslog pour rechercher "Wake" ou "Wake reason":

syslog |grep -i "Wake reason"

L'utilisation de syslog avec grep affiche les mêmes informations de réveil que la console, mais étant donné qu'elles sont accessibles depuis la ligne de commande, elles peuvent être plus puissantes pour les utilisateurs avancés.

Gardez à l'esprit que même si syslog et la console suivent les données de veille et de veille, elles n'indiquent pas nécessairement les tentatives de connexion et les échecs, ni ne réveillent un économiseur d'écran. Dans ce cas, la meilleure protection est de toujours vous rappeler de définir une protection par mot de passe sur un Mac et de verrouiller l'écran avec un mot de passe même si vous partez quelques minutes si vous êtes dans une situation où des données sensibles pourraient être compromises .

Vous pouvez également trouver des informations similaires sur les machines Windows, mais vous devrez chercher ailleurs.