Horodatages fondamentaux

Les fichiers dans NTFS contiennent plusieurs horodatages qui enregistrent des métadonnées cruciales sur leur historique et leur utilisation. Comprendre ces horodatages, leur signification et leur fiabilité est fondamental pour une analyse précise lors des partages d’écran. L’ensemble le plus couramment référencé est connu sous l’acronyme MACB :

• (M) Modifié : Ce horodatage indique précisément la dernière fois que le contenu du fichier lui-même a été modifié. Des actions telles que sauvegarder des modifications dans un document, modifier des données d’image, recompiler du code dans un exécutable ou ajouter des données à un fichier journal mettront à jour l’heure modifiée.

• (A) Accès : Ce timestamp enregistre théoriquement la dernière fois que le fichier a été consulté – ce qui peut signifier qu’il est ouvert pour lecture, écrit ou exécuté. Cependant, dans le contexte du partage d’écran, ce timestamp est considéré comme peu fiable comme preuve définitive d’une interaction ou d’une exécution directe de l’utilisateur. De nombreux processus système en arrière-plan, des services d’indexation (comme Windows Search), des scanners antivirus, des assistants de compatibilité, et même simplement la navigation dans les dossiers dans l’Explorateur peuvent déclencher des mises à jour du temps d’accès sans que l’utilisateur n’ouvre ou exécute activement le fichier. Se fier au temps d’accès pour prouver qu’une triche a été exécutée par le joueur peut facilement mener à des faux positifs et à des conclusions erronées. Sa valeur probante est souvent minime isolément.

• (C) Modifié : Cet horodatage reflète la dernière fois que les métadonnées du fichier ont été modifiées dans l’entrée de la Table des fichiers maîtres ($MFT). Cela inclut des modifications des attributs du fichier (comme lecture seule, caché), les permissions de sécurité (ACL), le renommage du fichier ou le déplacement du fichier dans le même volume. Notez que modifier le contenu du fichier (qui met à jour l’heure modifiée) ne met pas nécessairement à jour l’heure modifiée, sauf si les métadonnées sont également modifiées simultanément.

• (B) Naissance : Ce horodatage marque le moment exact où le fichier a été créé sur le volume spécifique du système de fichiers (par exemple, le lecteur C :, une clé USB). Il est crucial de comprendre que copier un fichier d’un endroit à un autre (même sur le même volume, mais surtout vers un autre volume) entraîne une nouvelle heure de naissance correspondant au moment où l’opération de copie s’est terminée à destination. Déplacer un fichier dans le même volume conserve généralement l’heure de naissance originale mais met à jour l’heure modifiée.

Une interprétation précise exige de reconnaître les nuances de chaque horodatage, en particulier l’instabilité générale du temps d’accès pour prouver des actions délibérées de l’utilisateur dans des scénarios typiques de partage d’écran. La corroboration avec d’autres artefacts est presque toujours nécessaire.