Quand le mot de passe était… LOUVRE
Le spectaculaire cambriolage du Louvre du 19 octobre a révélé des vulnérabilités importantes. Derrière ses chefs-d’œuvre mondialement connus, l’institution culturelle la plus visitée du monde fonctionnait encore avec des systèmes obsolètes et des mots de passe à peine croyables…
Des mots de passe simplistes et des systèmes obsolètes. Selon les révélations de CheckNews, qui indique avoir consulté des documents internes et rapports techniques confidentiels, l’étendue des failles informatiques touchant « le premier musée du monde » était déjà alarmante à l’époque.
Parmi les éléments relevés, certains détails font frémir : un mot de passe aussi élémentaire que « LOUVRE » permettait d’accéder à un serveur de vidéosurveillance, tandis qu’un identifiant « THALES » ouvrait l’accès à un logiciel du groupe éponyme. Les systèmes de sécurité reposaient encore sur des postes Windows 2000/XP et des serveurs Windows Server 2003, obsolètes et non maintenus.
Des projets de renouvellement plusieurs fois reportés
Dans un rapport de 26 pages, datant de 2014, l’ANSSI pointait de « nombreuses vulnérabilités » des systèmes informatiques du musée et la facilité de s’y introduire. « À partir de cet accès, il est ensuite possible de compromettre le réseau de sûreté », est-il écrit.
L’audit précisait qu’un utilisateur interne pouvait, depuis le réseau bureautique, accéder au réseau de sûreté, modifier les droits d’un badge ou perturber le système de vidéosurveillance. Autrement dit, des failles susceptibles de faciliter un acte de malveillance ou d’en compromettre la détection.
Les constats de 2014 n’ont pas tous été suivis d’effet. La Cour des comptes, qui s’est penchée sur la période comprise entre 2019 et 2024, constate des retards significatifs dans la modernisation des dispositifs de sécurité. Les projets de renouvellement de la vidéosurveillance et des systèmes d’accès, pourtant prévus dès 2017, ont été plusieurs fois reportés, en raison de contraintes budgétaires, de lourdeurs administratives et d’un manque de coordination entre les services techniques du musée.
9 millions de visiteurs par an !
La Cour estime par ailleurs que « sous l’effet d’une fréquentation croissante, le cycle d’obsolescence des équipements techniques du musée s’est accéléré de façon nettement plus importante que le rythme des investissements engagés par l’établissement pour y remédier ». En d’autres termes, la modernisation des infrastructures ne suit pas le rythme imposé par l’usure et l’intensité d’exploitation d’un lieu accueillant plus de neuf millions de visiteurs par an.
Ce cas illustre un enjeu plus large : dans les établissements patrimoniaux comme dans les infrastructures complexes, la cybersécurité n’est plus un domaine séparé de la sûreté- elle en est désormais un pilier.
