Je me posais une question : Comment, sous Linux, garder une trace des activations de la caméra et du micro, avec la date, l'heure et le nom de l'application qui y a accédé.
On m'a donné plusieurs pistes que je liste ici :
- regarder les évènements udev dans journalctl (parser les logs avec syslog-ng ?)
- lsof/inotify : http://kerlinux.org/2010/08/utilisation-de-inotifywait-dans-des-scripts-shell/ et https://unix.stackexchange.com/a/344463
- auditd : https://dtbaker.net/blog/linux-monitor-what-is-using-your-webcam/
- lnav : https://docs.lnav.org/en/latest/cookbook.html

🔵 Exemple avec auditctl :
- Installation : sudo apt install auditd
- Activer l'audit de la webcam : sudo /sbin/auditctl -w /dev/video0 -p war
- Voir les utilisations : sudo /sbin/ausearch -f /dev/video0
Exemple:
_______________________

time->Thu Aug 18 10:55:39 2022
type=PROCTITLE msg=audit(1660812939.288:105): proctitle="cheese"
type=PATH msg=audit(1660812939.288:105): item=0 name="/dev/video0" inode=496 dev=00:06 mode=020660 ouid=0 ogid=44 rdev=51:00 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1660812939.288:105): cwd="/home/sebsauvage"
type=SYSCALL msg=audit(1660812939.288:105): arch=c000003e syscall=257 success=yes exit=19 a0=ffffff9c a1=5652fb5a9410 a2=80002 a3=0 items=1 ppid=1 pid=33437 auid=4294967295 uid=1002 gid=1002 euid=1002 suid=1002 fsuid=1002 egid=1002 sgid=1002 fsgid=1002 tty=(none) ses=4294967295 comm="cheese" exe="/usr/bin/cheese" key=(null)
_______________________

On voit que c'est le programme cheese (exe="/usr/bin/cheese") qui a activé la webcam, et quand.

(voir tous les évènement auditd d'aujourd'hui : sudo /sbin/ausearch -ts today)